WebDAV 在 IIS7.5 中是否存在不合理的风险?

信息安全 漏洞扫描器 iis 网络扫描仪
2021-08-22 05:27:42

我正在寻找有关 WebDAV 的一些反馈,在这种情况下,它在 IIS7.5 上运行。由于响应标头中的 DAV 条目,我收到了一份 IBM Rational AppScan 报告,其中发现了中等严重性。

我知道 WebDAV 过去曾遇到过问题,但微软似乎觉得 IIS7.5 有所改进(此处此处的信息)。所以问题是这样的:IIS7.5 上的 WebDAV 是否​​构成足以保证采取行动的风险?是否有任何以 IIS7.5 形式被利用的先例?

当然,总是有“除非你需要就关掉它”的说法,但是在这种情况下,一些后勤情况使这变得更加困难。我也意识到这些漏洞扫描可能有点偶然,如有必要,我很乐意声称“误报”。

1个回答

WebDAV 更像是一场配置噩梦。如果配置错误,可能会导致大量漏洞,例如能够访问应用程序文件、目录遍历、绕过身份验证等。

如果您不使用它,默认设置显然是相当安全的,基于 IIS 安全模型。如果您正在使用它,则会带来不同的问题,因为您需要围绕它创建适当的威胁模型。

如您所说,如果您不使用它,请将其关闭。WebDAV 目前相当安全,但这并不能保护您免受未来 0 天的影响。

其它你可能感兴趣的问题
上一篇命令行 Nessus/OpenVAS 或 NSE 查找特定漏洞? 下一篇PHP的良好安全工具- Suhosin vs Spike vs PHPIDS