Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

OPTIONS 方法开启 | OPTIONS method is enabled

wpadmin~October 15, 2018 /InfoSec

OPTIONS 方法开启 | OPTIONS method is enabled

OPTIONS method is enabled

说明

OPTIONS 方法主要有两个功能
1 常规语境下询问服务器支持哪些 HTTP 方法。
2 CORS 语境下作为预检请求 (Preflighted request) 。

争议

AWVS 中关于 OPTIONS method is enabled 的漏洞被定级为低危漏洞,但实际上这个问题仍有一定 争议
在 CORS (跨域资源共享) 中, OPTIONS 方法通常会作为一个预检请求,以检测实际请求是否可以被服务器所接受。 (详情参考 MDN 文档)
某些基于 Web 的 API 在设计中也会应用到 OPTIONS 方法。

因此,AWVS 的告警中建议禁用 OPTIONS 方法可能已经 不适应当前 Web 开发环境 。是否有必要禁用 OPTIONS 方法需要以视具体应用情况分析。

参考资料

1 OPTIONS method is enabled – AWVS
https://www.acunetix.com/vulnerabilities/web/options-method-is-enabled/

2 Test HTTP Methods (OTG-CONFIG-006) – OWASP
https://www.owasp.org/index.php/Test_HTTP_Methods_(OTG-CONFIG-006)

3 MDN Web docs – OPTIONS
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Methods/OPTIONS

4 #8184 OPTIONS Method Enabled – HackerOne
https://hackerone.com/reports/8184

5 HTTP OPTIONS Method Enabled – Rapid 7
https://www.rapid7.com/db/vulnerabilities/http-options-method-enabled

6 OPTIONS Method Enabled – netsparker
https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/options-method-enabled/

Leave a Reply

Your email address will not be published. Required fields are marked *