OPTIONS漏洞

漏洞描述

启用了不安全的http方法,Web服务器或应用程序服务器中间件是以不安全的方式配置 ,这些方法可能标识在服务器上启用了WebDAV,可能允许未授权的用户进行利用。此漏洞存在于IIS容器下,它扩展了HTTP协议,在GET/POST/HEAD等几个HTTP标准方法以外添加了一些新的方法,比如PUT/MOVE/COPY/DELETE方法,那么攻击者就可以通过PUT方法向服务器上传危险脚本。

漏洞测试

请求一个OPTIONS包,查看服务器所支持的HTTP方法。

OPTIONS / HTTP/1.1

Host:thief.one

漏洞危害

可能会在WEB服务器上上传、修改或删除WEB页面、脚本和文件,从而达到网页篡改,控制服务器的目的。

漏洞修复方案

如果服务器不需要支持WebDAV,请务必禁用此功能,或者禁止其不安全的HTTP请求方法。

results matching ""

    No results matching ""