服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在IIS 6上允许DELETE动词是否存在安全问题?
Intereting Posts
Apache2.4 – PHP 5.6和PHP7.1同时运行 Apache:使用RewriteRule进行模式匹配和分组会导致本地path,而不是获取URL组件 厨师服务器12当节点没有时间同步时给我错误 如何重置或恢复MySQL的pipe理员帐户密码? 在Windows 7上closuresSMTP 无法推送到git远程存储库 用户'sa'login失败。 用户没有与受信任的SQL Server连接相关联 我安装了PHP 7.x后,phpinfo仍然显示较老的PHP 5.x mysql复制,master_log_pos同步但表不更新 UNICODE版本支持SQL Server 2016 如何dynamic地将地址列表加载到iptables中? 我应该如何pipe理具有某些名称服务器但指向其他地方的MXlogging的域? PSExecclosures服务器列表 使用Powershell获取无法送达的电子邮件地址 将IIS7设置为将所有新应用程序池默认设置为64位

在IIS 6上允许DELETE动词是否存在安全问题?

在IIS 6上允许DELETE动词是否存在安全问题? DELETE动词在IIS中默认做什么(例如:如果安全设置不正确,是否可以删除文件等?)

我正在处理REST应用程序,并计划在某些请求中使用http DELETE动词。 我们的服务器pipe理员安装了UrlScan,它被设置为只允许GET和POST动词。 UrlScan不能有select地允许某些path,这些规则只是简单的打开或closures,所以它对整个站点都是有效的。 他们不情愿地为我启用DELETE,但我不想在不知不觉中打开一个安全漏洞。

如果IIS用户(如果它没有从默认的本地系统更改,这将是一个问题)有权删除,那么攻击者可以使用该访问来删除本地系统中的文件。 WebDAV使用这种方法。

有一个stackoverflow答案处理不使用PUT和DELETE的解决方法

https://stackoverflow.com/questions/23963/restful-web-services-and-http-verbs