安全 QA 说只允许 POST/GET 请求，其它的都不安全？

其它的 HTTP 方法都被评为中级风险，不整改估计过不了安全关，系统没法上线，这事如何破？我严格要求团队遵循 restful 规范，写了一堆 PUT/Delete/BATCH

infun

2023-07-25 16:28:29 +08:00

安不安全不知道，方便是真的方便

corcre

2023-07-25 16:28:59 +08:00

写邮件, 让他留书面证据, 然后拿去问项目负责人, 他说改你就改

retanoj

2023-07-25 16:29:33 +08:00

这事儿怨不得你们的安全 QA ，要埋怨还得找根源（比如他们遵守的那份规范的制定方）

trlove

2023-07-25 16:29:34 +08:00

很多安全检测工具是只允许 post/get 更严重的是只允许 post 跟你们的安全人员用的安全检测工具有关

drvDPqg5nO7kZWhv

2023-07-25 16:29:48 +08:00

安全 QA 可以下岗了，他真的不合适做这个。
在他知识里，喝 25°的水是安全，26°的水不安全，但是 25°的敌敌畏喝了也安全。

dog82

2023-07-25 16:30:46 +08:00

@corcre 我就是项目负责人，花钱请的外面的网信安团队对项目做安全评估

CEBBCAT

2023-07-25 16:31:03 +08:00

那当然是举报前端使用 OPTIONS 方法有安全漏洞 /doge

CEBBCAT

2023-07-25 16:35:33 +08:00

即如楼主就是项目负责人，“安全 QA”是请的第三方公司，那么目标就明确了，是项目上线，阻碍也明确了，“安全 QA”设置了不合理的规则。

可以分享一下跟对方团队的沟通进度吗？

corcre

2023-07-25 16:39:12 +08:00

@dog82 这下场面就非常尴尬...那我估计你是乙方, 乙方的话估计甲方也不听你说的, 只认第三方的评估报告, 那你也就只能改了(要不你拉上 QA 去甲方那说说其实这一项没啥影响

shengX

2023-07-25 16:41:44 +08:00

我之前所在的项目也是（运营商），需要拿到安全测试报告才能上线，因为项目中有没有限制 put 、delete 的请求，安全不通过，后来为了上线，直接禁用掉了

AuYuHui

2023-07-25 16:45:23 +08:00

全部 POST 吧，还少一个 GET 接口

kuaner

2023-07-25 16:46:56 +08:00

这事可太常见了，也不能怪安全公司，很可能是他们遵守的某个 GB 里面定义的

yinmin

2023-07-25 16:47:08 +08:00

@dog82 如果是 server to server ，通常加 ip 白名单能过安全评估

x86

2023-07-25 16:47:52 +08:00

叫人事查下安全的背景，不是关系户就是短期培训班出来的

ttentau1

2023-07-25 16:48:09 +08:00

正常，iis 如果没配置好，用 put 请求就可以写东西然后执行。所以直接全禁了最好

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959602

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.