最近對於系統使用Appscan掃描出中危漏洞“啟用不安全的HTTP方法,找了很多修復方法都不能達到效果。
漏洞截圖:
漏洞描述:
危險級別 |
||
影響頁面 |
整個WEB頁面。 |
|
簡短描述 |
管理員在服務器安全配置上的疏忽,導致服務器上啟用了不安全的HTTP方法。 |
|
詳細描述 |
不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通過此類擴展方法,可能上傳文件到服務器或刪除服務器上的文件。 |
|
修補建議 |
禁止不必要的 HTTP 方法(動詞TRACE)。 |
|
存在頁面 |
整站 |
修復建議方案:
1、禁用WebDAV功能(IIS)
2、使用URLSCAN禁用OPTIONS和其他HTTP方法
執行步驟:
IIS 在擴展功能中禁用webdev功能,此功能可禁止危險動作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。
安裝URLscan工具,下載地址:http://www.iis.net/downloads/microsoft/urlscan
安裝完成后,配置文件在路徑:
C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini
主要節點配置:
[options]
UseAllowVerbs=0 //禁用模式
[AllowVerbs] //禁用某些危險請求
DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE
上述配置中訪問路徑中包含中文字符則會異常,需修改節點:
AllowHighBitCharacters=1
說明:此選項設置為 0。如果將此選項設置為 0,則 URLScan 拒絕任何包含非 ASCII 字符的請求。這樣可以防止某些類型的攻擊,但同時可能也會禁止對某些合法文件的請求,如帶有非英文名的文件。
配置文件修改完成,保存后重啟iis,在cmd命令中輸入:iisreset
重啟完成,測試:
使用火狐插件 poster,選擇options項,訪問網站,即可看到打開頁面異常。 至此修復完成。
此文章謹以此提供給還受Appscan掃描漏洞而找不到修復方案的同學們。