我有一个挑战,我希望有人有一些想法。 我正在使用运行IIS7.5的主机将Web应用程序部署到共享环境。 安全扫描显示,WebDAV已启用,并且停止已放置在网站上直到它被closures。
由于这一发现,主机已经能够直接在IIS中手动禁用该站点的WebDAV(不是我们在IISpipe理器中公开的设置),然后在其在线控制面板中提供一个开关来closures它。 我可以成功地添加一个networking位置,并在打开文件系统的同时远程连接,但是如果functionclosures,则无法进行此设置。
不幸的是,该网站仍然返回一个接受PROPFIND头和Ms-Author-Via:DAV头,这似乎是安全扫描程序提出build议的基础。
所以问题是这样的:当WebDAV被禁用一个站点,但为同一台机器上的其他人启用时,它的预期行为是否应该反映我在上面看到的? 这是否是由devise或是否有其他的东西,应该configuration明智在个别站点级别,以避免这种情况?
嗨,我希望这对你有一些帮助:
http://unixwiz.net/techtips/ms971492-webdav-vuln.html
虽然这是为5/6 iis它有一些关于安全性的很好的信息。
尝试一些相反的步骤在这里:
http://learn.iis.net/page.aspx/350/installing-and-configuring-webdav-on-iis-7/
虽然这不是对您的问题的直接回答,但希望对您有所帮助。
我无法为IIS提供修补程序,但我可以回答您是否是正常行为的问题。
MS-Author-Via:DAV标题应该是没有意义的。 值得注意的是,当DAV模块被简单地加载时,Apache包括这个头部,不pipe被请求的URL是否启用DAV。 所以安全扫描器不应该仅仅根据这个标题进行推荐。
然而,接受URL的PROPFIND请求是有问题的。 Apache的行为是拒绝没有启用DAV的URL的PROPFIND请求。 例如:
telnet www.somewhere.com 80 PROPFIND / 服务器返回:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>405 Method Not Allowed</title> </head><body> <h1>Method Not Allowed</h1> <p>The requested method PROPFIND is not allowed for the URL /.</p> <hr> <address>Apache/2.2.24 (Unix) DAV/2 Server at www.somewhere.com Port 80</address> </body></html>