admin 管理员组文章数量: 887016
2024年3月19日发(作者:listbox控件用法详解vc)
IIS WebDAV安全配置
WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、
HEAD等几个HTTP标准方法以外添加了一些新的方法。
使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁
(Unlock),还可以支持文件的版本控制。
IIS实现Webdav是采用的其两种接口CGI、ISAPI的ISAPI接口。
但因为其没有采用影射的方式,所以IIS的主程序本身包含了Webdav的
信息。
其识别出是Webdav的请求后就调用Webdav的处理模块。
对于常见几种请求方法GET、HEAD、POST等,因为常见一些映射都支持。
所以不能以请求方法作为Webdav请求的判断,就根据请求头的字段识别。
如果请求头里面包含Translate:、If:、Lock-Token:中的一种,就认为是Webdav的
请求。
Translate:就是那个Translate:f的泄露源代码的一个请求头,其实设置别的两个也是
一样的。
可能很多IDS是没有这点知识的。还内置了几个别的请求方法TRACK、
TRACE等。
TRACK就是用于调试错误的,如果收到这样的请求头,会原样返回请求数
据。
相当于我们常见的。
IIS对TRACK请求没有进行LOG记录,这点我们可以用于来获得banner。
对于IIS将优于大家习惯使用的HEAD。
如果上面的请求方法没匹配,那么就会认为是Webdav的请求,交给
处理了。
这些请求包含Webdav支持的PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、
COPY、MOVE、LOCK、UNLOCK等。
0x01 配置
为了安全上的考虑,IIS默认并不会启动WebDAV的功能,因此必须另外来激活它。
通过启动“IIS管理器”,展开本地计算机,选择“Web服务扩展”,选择“允许”
的途径来启动WebDAV功能。
开启WebDAV之后,IIS就支持PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、
COPY、MOVE、LOCK、UNLOCK等方法了。
版权声明:本文标题:IIS WebDAV漏洞安全配置解决方法 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1710805714h576260.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论