安全 QA 说只允许 POST/GET 请求,其它的都不安全?

2023-07-25 16:23:55 +08:00
 dog82

其它的 HTTP 方法都被评为中级风险,不整改估计过不了安全关,系统没法上线,这事如何破? 我严格要求团队遵循 restful 规范,写了一堆 PUT/Delete/BATCH

14188 次点击
所在节点    Java
161 条回复
leo97
2023-07-25 16:26:53 +08:00
安全水平不行
infun
2023-07-25 16:28:29 +08:00
安不安全不知道,方便是真的方便
corcre
2023-07-25 16:28:59 +08:00
写邮件, 让他留书面证据, 然后拿去问项目负责人, 他说改你就改
retanoj
2023-07-25 16:29:33 +08:00
这事儿怨不得你们的安全 QA ,要埋怨还得找根源(比如他们遵守的那份规范的制定方)
trlove
2023-07-25 16:29:34 +08:00
很多安全检测工具是只允许 post/get 更严重的是只允许 post 跟你们的安全人员用的安全检测工具有关
drvDPqg5nO7kZWhv
2023-07-25 16:29:48 +08:00
安全 QA 可以下岗了,他真的不合适做这个。
在他知识里,喝 25°的水是安全,26°的水不安全,但是 25°的敌敌畏喝了也安全。
dog82
2023-07-25 16:30:46 +08:00
@corcre 我就是项目负责人,花钱请的外面的网信安团队对项目做安全评估
CEBBCAT
2023-07-25 16:31:03 +08:00
那当然是举报前端使用 OPTIONS 方法有安全漏洞 /doge
CEBBCAT
2023-07-25 16:35:33 +08:00
即如楼主就是项目负责人,“安全 QA”是请的第三方公司,那么目标就明确了,是项目上线,阻碍也明确了,“安全 QA”设置了不合理的规则。

可以分享一下跟对方团队的沟通进度吗?
corcre
2023-07-25 16:39:12 +08:00
@dog82 这下场面就非常尴尬...那我估计你是乙方, 乙方的话估计甲方也不听你说的, 只认第三方的评估报告, 那你也就只能改了(要不你拉上 QA 去甲方那说说其实这一项没啥影响
leonshaw
2023-07-25 16:39:50 +08:00
@dog82 那就再升级
shengX
2023-07-25 16:41:44 +08:00
我之前所在的项目也是(运营商),需要拿到安全测试报告才能上线,因为项目中有没有限制 put 、delete 的请求,安全不通过,后来为了上线,直接禁用掉了
drvDPqg5nO7kZWhv
2023-07-25 16:44:10 +08:00
行业的耻辱
datou
2023-07-25 16:45:08 +08:00
不允许 option 吗?
AuYuHui
2023-07-25 16:45:23 +08:00
全部 POST 吧,还少 一个 GET 接口
kuaner
2023-07-25 16:46:56 +08:00
这事可太常见了,也不能怪安全公司,很可能是他们遵守的某个 GB 里面定义的
yinmin
2023-07-25 16:47:08 +08:00
@dog82 如果是 server to server ,通常加 ip 白名单能过安全评估
Leviathann
2023-07-25 16:47:09 +08:00
直接 JSON-RPC 一步到位
x86
2023-07-25 16:47:52 +08:00
叫人事查下安全的背景,不是关系户就是短期培训班出来的
ttentau1
2023-07-25 16:48:09 +08:00
正常,iis 如果没配置好,用 put 请求就可以写东西然后执行。所以直接全禁了最好

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959602

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX