許可されている HTTP メソッド

info Web App Scanning プラグイン ID 98047

概要

許可されている HTTP メソッド

説明

Web サーバーで使用できる HTTP メソッドはいくつもあります (「OPTIONS」、「HEAD」、「GET」、「POST」、「PUT」、「DELETE」など)。これらのメソッドはそれぞれ異なる機能を実行し、Web サーバーでの使用が許可されている場合に、それぞれ関連するレベルのリスクがあります。

スキャナーが、各メソッドに対して HTTP OPTIONS リクエストとダイレクト HTTP リクエストを送信し、サーバーで許可されているメソッドを検出しました。

ソリューション

アプリケーションに必要な HTTP メソッドのみを明示的に許可し、その他をすべてブロックするために、ホワイトリスト化アプローチを採用することをお勧めします。

参考資料

http://httpd.apache.org/docs/2.2/mod/core.html#limitexcept

プラグインの詳細

深刻度: Info

ID: 98047

タイプ: remote

ファミリー: Web Applications

公開日: 2017/3/31

更新日: 2024/2/27

スキャン テンプレート: api, basic, full, pci, scan