在owasp 2014(https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf)中,我们有:
V 11.2(第31页):验证应用程序是否仅接受已定义的内容 一组HTTP请求方法,例如GET和POST以及未使用的方法 被明确阻止。
这是否意味着我们不能使用非标准的HTTP方法?如果是,我们可以说WebDAV不符合OWASP ASVS标准吗?如果答案是否定的,是否有正式文件,博客文章或常见问题解答?
答案 0 :(得分:3)
我读这个的方式是,只要你定义了你接受的请求方法并阻止其他所有方法,你就可以使用你想要的任何方法。
只有一个定义的集合
不同,你不能使用无标准,它说,例如,如果你没有使用POST,你应该明确阻止POST
例如GET和POST
这里GET和POST是方法的示例,而不是可用方法的完整列表。
因此,请使用符合您需求的方法,但验证应用程序是否接受不在可接受请求列表中的任何请求