360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
警告警告

发现服务器开启了WebDAV

WASC Threat Classification

发现时间:

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

IIS

所属编程语言:

其他

描述:

目标开启了WebDAV。

WebDAV(Web-based Distributed Authoring and Versioning)是基于HTTP 1.1的扩展协议,它在HTTP定义的标准方法的基础上增加了一些新的方法,通过这些方法应用程序可以直接在WEB服务器上写入、删除文件等操作。

危害:

1.如果WebDAV配置不当,攻击者就有可以匿名对网站内容进行修改、删除及上传任意文件等操作,这可能会导致攻击者完全控制目标WEB服务器。

+ 展开
解决方案:

1 禁用WebDAV。
通常情况下网站不需要支持额外的方法,右键WebDAV,点击禁用即可。

2 如果要使用WebDAV的话,加上权限验证。
如果选取“脚本资源访问”,则用户将具备修改WebADV文件夹内的脚本文说明件(scriptfile)的功能。
除了此处的虚拟目录权限外,还需要视NTFS权限,才可以决定用户是否有权限来访问WebDAV文件夹内的文件。
WebDAV文件夹的NTFS权限给予用户适当的NTFS权限。
首先请设置让Everyone组只有“读取”的权限,然后再针对个别用户给予“写入”的权限,例如我们给予用户“User”写入的权限。
选择验证用户身份的方法启动“IIS管理器”,然后右击WebDAV虚拟目录,选择“属性”→“目录安全性”,单击“身份验证和访问控制”处的编辑按钮。
不要选取“启用匿名访问”,以免招致攻击。选择安全的验证方法,选择“集成Windows身份验证”。


其他方案:如您使用虚拟主机或者VPS,无法修改服务器配置,推荐使用如下经360安全认证的服务器提供商

西部数码
云主机

美橙互联
云主机

第一主机
云主机

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论