parche de HTTP en una API de Restful

Navega tus respuestas
2

Acabo de ejecutar un análisis de seguridad contra una API en desarrollo utilizando Secure PRO. Ha marcado una vulnerabilidad potencial en algunos métodos porque el verbo HTTP Parche está disponible.

Entiendo que PATCH parece actualizar los recursos si no existen. Suponiendo que la API implementa la autenticación correctamente y asegura que usted posee un recurso antes de actualizar cualquier información, ¿hay algo intrínsecamente inseguro sobre el verbo HTTP PATCH o debe ser rechazado?

    
pregunta iainpb 11.01.2017 - 17:26
fuente

1 respuesta

6

No, no existe ningún riesgo de seguridad inherente al manejar el verbo PATCH .

Su navegador no aplica políticas de seguridad diferentes a PATCH que a PUT o DELETE . En cambio, el impacto en la seguridad depende de la implementación del método por parte del servidor.

Como regla general, debes mantener la superficie de ataque lo más pequeña posible y desactivar los métodos innecesarios.

Vea también: Cómo explotar métodos HTTP

    
respondido por el Arminius 11.01.2017 - 19:17
fuente

Lea otras preguntas en las etiquetas

¿Por qué Microsoft afirma que SQL Server es la base de datos menos vulnerable? [cerrado] Asegurar una aplicación web usando HSTS