AppScan修復漏洞:啟用不安全的HTTP方法


最近對於系統使用Appscan掃描出中危漏洞“啟用不安全的HTTP方法,找了很多修復方法都不能達到效果。

 

漏洞截圖:

clip_image002

 

漏洞描述:

危險級別

 

clip_image001中危險

影響頁面

 

整個WEB頁面。

簡短描述

 

管理員在服務器安全配置上的疏忽,導致服務器上啟用了不安全的HTTP方法。

詳細描述

 

不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通過此類擴展方法,可能上傳文件到服務器或刪除服務器上的文件。

修補建議

 

禁止不必要的 HTTP 方法(動詞TRACE)。

存在頁面

 

整站

 

 

修復建議方案:

1、禁用WebDAV功能(IIS)

2、使用URLSCAN禁用OPTIONS和其他HTTP方法

 

 

執行步驟:

IIS 在擴展功能中禁用webdev功能,此功能可禁止危險動作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。

 

 

安裝URLscan工具,下載地址:http://www.iis.net/downloads/microsoft/urlscan

安裝完成后,配置文件在路徑:

C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini

 

主要節點配置:

[options]

UseAllowVerbs=0  //禁用模式

[AllowVerbs]   //禁用某些危險請求

DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE

 

上述配置中訪問路徑中包含中文字符則會異常,修改節點:

AllowHighBitCharacters=1      

說明:此選項設置為 0。如果將此選項設置為 0,則 URLScan 拒絕任何包含非 ASCII 字符的請求。這樣可以防止某些類型的攻擊,但同時可能也會禁止對某些合法文件的請求,如帶有非英文名的文件。

 

配置文件修改完成,保存后重啟iis,在cmd命令中輸入:iisreset

 

重啟完成,測試:

使用火狐插件 poster,選擇options項,訪問網站,即可看到打開頁面異常。 至此修復完成。

 

此文章謹以此提供給還受Appscan掃描漏洞而找不到修復方案的同學們。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM