OWASP ASVS标准是否禁止使用非标准HTTP方法?

时间:2016-07-25 05:57:10

标签: owasp http-method

在owasp 2014(https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf)中,我们有:

  

V 11.2(第31页):验证应用程序是否仅接受已定义的内容   一组HTTP请求方法,例如GET和POST以及未使用的方法   被明确阻止。

这是否意味着我们不能使用非标准的HTTP方法?如果是,我们可以说WebDAV不符合OWASP ASVS标准吗?如果答案是否定的,是否有正式文件,博客文章或常见问题解答?

1 个答案:

答案 0 :(得分:3)

我读这个的方式是,只要你定义了你接受的请求方法并阻止其他所有方法,你就可以使用你想要的任何方法。

  

只有一个定义的集合

不同,你不能使用无标准,它说,例如,如果你没有使用POST,你应该明确阻止POST

  

例如GET和POST

这里GET和POST是方法的示例,而不是可用方法的完整列表。

因此,请使用符合您需求的方法,但验证应用程序是否接受不在可接受请求列表中的任何请求