回答編集履歴

1

冒頭「恐らく」に繋がるよう文末を修正

2024/02/06 12:14

投稿

igrep
igrep

スコア428

test CHANGED
@@ -1,4 +1,4 @@
1
- 恐らく https://www.intellilink.co.jp/column/vulner/2017/100400.aspx で紹介されているような、特定のソフトウェアにおけるPUTなどが絡んだ脆弱性が拡大解釈され「PUTやDELETEは危ない!」と診断するケースがあるようです(例: https://cyberfortress.jp/2020/05/21/blog-web-method-issue/ )。
1
+ 恐らく https://www.intellilink.co.jp/column/vulner/2017/100400.aspx で紹介されているような、特定のソフトウェアにおけるPUTなどが絡んだ脆弱性が拡大解釈されているのが根本原因かと思われます。それによって「PUTやDELETEは危ない!」と診断するケースがあるようです(例: https://cyberfortress.jp/2020/05/21/blog-web-method-issue/ )。
2
2
  筆者自身そうした指摘を脆弱性診断で受けたことがあり、止むなくPOSTに変えたことがあります。あくまでインターフェースでしかないわけですし、実際に脆弱なのは実装の方なのですから「PUTやDELETEだから危ない」と判断するのは流石に早計だと今でも思いますが...。
3
3
 
4
4
  ちなみに、HTMLのform要素でGETやPOSTしか使えない件は、また別物と思われます。https://github.com/whatwg/html/issues/3577 曰く、「GETやPOSTも使えるようにしよう」という議論は過去にもあったそうですが、ブラウザーの細かい挙動を考える上で色々考慮すべき新しい問題が発生するそうで、結局採択されていません。この辺の詳しい事情は私もちゃんと把握できてなくて恐縮ですが、参考まで。