AppScan修复漏洞:启用不安全的HTTP方法

最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。

 

漏洞截图:

clip_image002

 

漏洞描述:

危险级别

 

clip_image001中危险

影响页面

 

整个WEB页面。

简短描述

 

管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。

详细描述

 

不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通过此类扩展方法,可能上传文件到服务器或删除服务器上的文件。

修补建议

 

禁止不必要的 HTTP 方法(动词TRACE)。

存在页面

 

整站

 

 

修复建议方案:

1、禁用WebDAV功能(IIS)

2、使用URLSCAN禁用OPTIONS和其他HTTP方法

 

 

执行步骤:

IIS 在扩展功能中禁用webdev功能,此功能可禁止危险动作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。

 

 

安装URLscan工具,下载地址:http://www.iis.net/downloads/microsoft/urlscan

安装完成后,配置文件在路径:

C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini

 

主要节点配置:

[options]

UseAllowVerbs=0  //禁用模式

[AllowVerbs]   //禁用某些危险请求

DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE

 

上述配置中访问路径中包含中文字符则会异常,修改节点:

AllowHighBitCharacters=1      

说明:此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。

 

配置文件修改完成,保存后重启iis,在cmd命令中输入:iisreset

 

重启完成,测试:

使用火狐插件 poster,选择options项,访问网站,即可看到打开页面异常。 至此修复完成。

 

此文章谨以此提供给还受Appscan扫描漏洞而找不到修复方案的同学们。

posted @ 2015-01-23 22:29  不再孤单  阅读(4275)  评论(0编辑  收藏  举报