Método HTTP delete no Gestão de Ponto
Descrição da Situação:
Em rotinas de testes de Segurança da Informação na aplicação do Gestão do Ponto, foi verificado que a aplicação está permitindo um delete através do método http delete
Rotina / Tela:
Gestão de Ponto
Solução:
O sistema Gestão do ponto utiliza da API REST para chamada dos serviços e logo a segurança está atrelada no backend como autenticação via token, abrangência de usuário e permissão de tela.
No site https://security.stackexchange.com/questions/21413/how-to-exploit-http-methods há a informação mencionando sobre os métodos HTTP DELETE e PUT quando utiliza API REST.
Inclusive, a IBM faz referência para esse mesmo site ao falar da segurança de seus produtos em que também utilizam desse método.
Portanto, não existe vulnerabilidade no método http delete utilizado pelo Gestão de Ponto.