安全 QA 说只允许 POST/GET 请求，其它的都不安全？

其它的 HTTP 方法都被评为中级风险，不整改估计过不了安全关，系统没法上线，这事如何破？我严格要求团队遵循 restful 规范，写了一堆 PUT/Delete/BATCH

corcre

288 天前

写邮件, 让他留书面证据, 然后拿去问项目负责人, 他说改你就改

retanoj

288 天前

这事儿怨不得你们的安全 QA ，要埋怨还得找根源（比如他们遵守的那份规范的制定方）

trlove

288 天前

很多安全检测工具是只允许 post/get 更严重的是只允许 post 跟你们的安全人员用的安全检测工具有关

guilinxiaobing

288 天前

安全 QA 可以下岗了，他真的不合适做这个。
在他知识里，喝 25°的水是安全，26°的水不安全，但是 25°的敌敌畏喝了也安全。

dog82

288 天前

@corcre 我就是项目负责人，花钱请的外面的网信安团队对项目做安全评估

CEBBCAT

288 天前

那当然是举报前端使用 OPTIONS 方法有安全漏洞 /doge

CEBBCAT

288 天前

即如楼主就是项目负责人，“安全 QA”是请的第三方公司，那么目标就明确了，是项目上线，阻碍也明确了，“安全 QA”设置了不合理的规则。

可以分享一下跟对方团队的沟通进度吗？

corcre

288 天前

@dog82 这下场面就非常尴尬...那我估计你是乙方, 乙方的话估计甲方也不听你说的, 只认第三方的评估报告, 那你也就只能改了(要不你拉上 QA 去甲方那说说其实这一项没啥影响

shengX

288 天前

我之前所在的项目也是（运营商），需要拿到安全测试报告才能上线，因为项目中有没有限制 put 、delete 的请求，安全不通过，后来为了上线，直接禁用掉了

kuaner

288 天前

这事可太常见了，也不能怪安全公司，很可能是他们遵守的某个 GB 里面定义的

yinmin

288 天前

@dog82 如果是 server to server ，通常加 ip 白名单能过安全评估

x86

288 天前

叫人事查下安全的背景，不是关系户就是短期培训班出来的

ttentau1

288 天前

正常，iis 如果没配置好，用 put 请求就可以写东西然后执行。所以直接全禁了最好

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.