[Owasp-brazilian] Você acha normal usar POST e GET como e fosse a mesma coisa?

Wagner Elias wagner.elias at gmail.com
Thu Aug 6 10:49:54 EDT 2009


Oi Zucco,

os métodos mencionados é mais simples e pode ser feito. Mas é
complicado tratar caso a caso, como deve ser tratado o POST e GET na
aplicação.

Aplicação X:

Para consulta use GET; Para inclusão de dados sensíveis use POST; etc...

Abs.

2009/8/6 Jeronimo Zucco <jczucco at gmail.com>:
> 2009/8/6 Andre Rodrigues <acastanheira2001 at yahoo.com.br>:
>>
>> Prezados,
>>
>> 1- Como o administrador pode limitar os tipos de métodos utilizados no servidor? Minha configuração é apache - tomcat - jboss, que servidor trata os POSTS e GETS?
>>
>> 2- Como o setor de qualidade de sw podeverificar se os métodos estão sendo utilizados adequadamente?
>>
>
> No meu caso, que uso squid como proxy reverso, é possível limitar os
> métodos utilizando acls, como no exemplo abaixo:
>
> acl metodos method PROPFIND TRACE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK
> http_access deny metodos
> always_direct deny metodos
>
>
> Dá para combinar acls de urls com acls de metodos para realizar os
> bloqueios desejados. É mais um nível de proteção. Mas é claro, seria
> melhor se o programador fizesse isso direto na aplicação.
>
>
> --
> Jeronimo Zucco
> http://jczucco.blogspot.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list