[Owasp-brazilian] Você acha normal usar POST e GET como e fosse a mesma coisa?

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Wed Aug 5 17:32:32 EDT 2009


Essa é uma boa discussão.

Até o bom e velho google ja foi alvo de ataques por suportar os dois, não
sei se lembram

http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br

Parte do full disclosure

"The attack is facilitated since the "Change Password" request can be
realized across the HTTP GET method instead of the POST method that is
realized habitually across the "Change Password" form. "

No caso, acredito que os administradores do servidor tambem podem ajudar a
mitigar isso limitando tipo de metodos nos servidores, ou pelo menos em
diretorios especificos.

Mas onde usar, acredito que não exista uma regra e sim conhecer sua
aplicação e ditar onde podemos usar GET only, POST Only ou os dois  =) .


Abs!

2009/8/5 Lucas Ferreira <lucas.ferreira at gmail.com>

> http://java.sapao.net/Home/usar-corretamente-post-e-get
>
> 2009/8/5 Wagner Elias <wagner.elias at gmail.com>:
> > Pessoal,
> >
> > Por que muitos programadores acham que POST e GET é a mesma coisa?
> >
> > Se analisarmos os frameworks, struts por exemplo, ele aceita POST e
> > GET. Se você pegar um formulário que é POST e mandar a requisição em
> > GET, o struts aceita normalmente. Isto é comum em outros frameworks
> > também.
> >
> > Pode parecer apenas uma frescura usar POST e GET de forma adequada, ou
> > apenas uma questão de arquitetura. Mas o próprio W3C[1]  sugere quando
> > usar POST e GET:
> >
> > 1.3 Quick Checklist for Choosing HTTP GET or POST
> >
> >    * Use GET if:
> >          o The interaction is more like a question (i.e., it is a
> > safe operation such as a query, read operation, or lookup).
> >    * Use POST if:
> >          o The interaction is more like an order, or
> >          o The interaction changes the state of the resource in a way
> > that the user would perceive (e.g., a subscription to a service), or
> >          o The user be held accountable for the results of the
> interaction.
> >
> >
> > Além disto, em algumas situações a possibilidade de fazer uma
> > requisição usando GET, quando era para ser usado POST, pode facilitar
> > ataques de XSS/XSRF baseados em phishing, engenharia social.
> >
> > O que vocês acham disto?
> >
> > [1] http://www.w3.org/2001/tag/doc/whenToUseGet.html
> >
> > Abs.
> > --
> > Wagner Elias - OWASP Leader Project Brazil
> > ------------------------------------------------------------------
> > Twitter: www.twitter.com/welias
> > Blog: http://wagnerelias.com
> > Profile: http://www.linkedin.com/in/wagnerelias
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
>
>
>
> --
> If a tree falls in the forest and no one is around to see it, do the
> other trees make fun of it?
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.twitter.com/spookerlabs
http://www.linkedin.com/in/spooker
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090805/870f22ad/attachment.html 


More information about the Owasp-brazilian mailing list