AppScan修复漏洞:启用不安全的HTTP方法(TRACE,OPTIONS)
[ 2016-10-10 16:04:03 | 作者: admin ]
文章来源:http://www.cnblogs.com/lyuec/p/4245175.html
最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。
漏洞截图:
漏洞描述:
危险级别
影响页面整个WEB页面。
简短描述
管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。
详细描述
不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通过此类扩展方法,可能上传文件到服务器或删除服务器上的文件。
修补建议
禁止不必要的 HTTP 方法(动词TRACE)。
修复建议方案:
1、禁用WebDAV功能(IIS)
2、使用URLSCAN禁用OPTIONS和其他HTTP方法
执行步骤:
IIS 在扩展功能中禁用webdev功能,此功能可禁止危险动作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。
安装URLscan工具,下载地址:http://www.iis.net/downloads/microsoft/urlscan
安装完成后,配置文件在路径:C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini
主要节点配置:
上述配置中访问路径中包含中文字符则会异常,需修改节点:
说明:此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
配置文件修改完成,保存后重启iis,在cmd命令中输入:iisreset (重启iis admin service)
重启完成,测试:
1、使用火狐插件 poster,选择options项,访问网站,即可看到打开页面异常。 至此修复完成。
2、也可以使用HTTP Analyzer软件来测试,支持options
此文章谨以此提供给还受Appscan扫描漏洞而找不到修复方案的同学们。
文章参考:
配置urlscan https://support.microsoft.com/zh-cn/kb/326444#bookmark-3
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2347
最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。
漏洞截图:
漏洞描述:
危险级别
影响页面整个WEB页面。
简短描述
管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。
详细描述
不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通过此类扩展方法,可能上传文件到服务器或删除服务器上的文件。
修补建议
禁止不必要的 HTTP 方法(动词TRACE)。
修复建议方案:
1、禁用WebDAV功能(IIS)
2、使用URLSCAN禁用OPTIONS和其他HTTP方法
执行步骤:
IIS 在扩展功能中禁用webdev功能,此功能可禁止危险动作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。
安装URLscan工具,下载地址:http://www.iis.net/downloads/microsoft/urlscan
安装完成后,配置文件在路径:C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini
主要节点配置:
[options]
UseAllowVerbs=0 //禁用模式
[AllowVerbs] //禁用某些危险请求
DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE
OPTIONS
UseAllowVerbs=0 //禁用模式
[AllowVerbs] //禁用某些危险请求
DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE
OPTIONS
上述配置中访问路径中包含中文字符则会异常,需修改节点:
AllowHighBitCharacters=1
说明:此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
配置文件修改完成,保存后重启iis,在cmd命令中输入:iisreset (重启iis admin service)
重启完成,测试:
1、使用火狐插件 poster,选择options项,访问网站,即可看到打开页面异常。 至此修复完成。
2、也可以使用HTTP Analyzer软件来测试,支持options
此文章谨以此提供给还受Appscan扫描漏洞而找不到修复方案的同学们。
文章参考:
配置urlscan https://support.microsoft.com/zh-cn/kb/326444#bookmark-3
[最后修改由 admin, 于 2016-10-11 11:40:44]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2347
这篇日志没有评论。
此日志不可发表评论。
