¿Cuál es el límite de tamaño de solicitud "apropiado" para un servicio web?

0

El punto 18.4 de OWASP ASVS dice

  

Verifique que todas las entradas estén limitadas a un límite de tamaño apropiado.

Actualmente tengo un límite de entrada de 50 MB en todos los servicios web. (Y parece que este es el valor predeterminado en Microsoft Windows). Imagino que un límite tan alto permite un ataque fácil de denegación de servicio, especialmente si se pueden atacar múltiples servicios al mismo tiempo. ¿Está este límite demasiado alto? ¿Y cómo se debe tratar con los servicios que requieren solicitudes más grandes?

    
pregunta floworbit 27.06.2017 - 11:18
fuente

1 respuesta

1

Esto depende de lo que esté haciendo el servicio web.

Volvería a escribir esta línea OWASP para: "Verificar que todas las entradas estén limitadas a un tamaño apropiado para el servicio".

Entonces, si controla la entrada, puede establecer el tamaño en función de eso, si el servicio acepta algo de tamaño variable, por ejemplo, imágenes o archivos, tendrá que elegir un límite con el que esté satisfecho y tenga sentido. la aplicación. No tiene sentido configurarlo en 1 gb si el servicio espera imágenes tomadas con un teléfono inteligente, por ejemplo.

    
respondido por el GreatSeaSpider 27.06.2017 - 16:47
fuente

Lea otras preguntas en las etiquetas