HTTP HEAD y su seguridad frente a los usos operativos

24

La mayoría de los consejos de seguridad que veo recomiendan desactivar métodos HTTP como TRACE , OPTIONS , HEAD , etc. Así que ahora he desactivado la mayoría de estas opciones en mi servidor web y solo he dejado GET y POST de opciones que se pueden devolver. La pregunta es, ahora algunas de mis aplicaciones están usando HEAD y algunos usuarios están cometiendo errores al hacer cosas en la aplicación. La comprobación de los registros reveló que algunas solicitudes HEAD provenían del usuario final. Sospecho que es porque mi servidor ha dejado de responder a HEAD por lo que la conexión se ha interrumpido. Mi pregunta es, ¿es HEAD realmente tan seguro cuando leo que también tiene sus usos legítimos? ¿O debería simplemente decirle a mis desarrolladores de aplicaciones / administrador de proyectos que cambien su código? gracias.

    
pregunta Pang Ser Lark 25.01.2016 - 09:30
fuente

1 respuesta

32

HEAD no es peligroso en sí mismo, y tiene usos legítimos. El problema es con Java EE. Tiene una forma de establecer restricciones de seguridad mediante archivos web.xml, pero solo se aplican a GET y POST, no a HEAD. Esto significa que es posible omitir la autenticación mediante HEAD. Hay más información sobre este y otros temas en este documento sobre las pruebas de penetración del Instituto SANS .

Si este problema en particular es aplicable a su aplicación, obviamente dependerá de qué servidor de aplicaciones y otras medidas de seguridad esté utilizando.

    
respondido por el Jenny D 25.01.2016 - 09:39
fuente

Lea otras preguntas en las etiquetas