WebDAV pone un rischio irragionevole in IIS7.5?

6

Sto cercando un po 'di feedback su WebDAV, in questo caso su IIS7.5. Ho ricevuto un rapporto IBM Rational AppScan che ha rilevato un livello di gravità medio come risultato delle voci DAV nelle intestazioni delle risposte.

Sono consapevole che WebDAV ha avuto i suoi problemi in passato, ma sembra che Microsoft abbia notato miglioramenti in IIS7.5 (informazioni qui e qui ). Quindi la domanda è questa: WebDAV su IIS7.5 rappresenta un rischio sufficiente per giustificare l'azione? Ci sono dei precedenti che vengono sfruttati nel modulo IIS7.5?

Ovviamente c'è sempre l'argomento di "spegnilo a meno che tu non ne abbia bisogno", ma un paio di situazioni logistiche rendono questo un po 'più difficile in questo scenario. Sono anche consapevole che queste scansioni di vulnerabilità possono tendere ad essere un po 'approssimative e sono felice di reclamare "falsi positivi" se necessario.

    
posta Troy Hunt 06.02.2011 - 20:58
fonte

1 risposta

3

WebDAV è più un incubo di configurazione che altro. Se non è configurato correttamente, può portare a un'intera serie di vulnerabilità come poter accedere ai file dell'applicazione, attraversare le directory, ignorare l'autenticazione, ecc.

Se non lo si utilizza, le impostazioni predefinite sono apparentemente ragionevolmente sicure, basate sul modello di sicurezza IIS. Se lo stai utilizzando, ciò pone un problema diverso in quanto è necessario creare un modello di minaccia appropriato attorno ad esso.

Come hai detto, spegnilo se non lo stai usando. WebDAV è ragionevolmente sicuro al momento, ma questo non ti protegge dai futuri 0 giorni.

    
risposta data 06.02.2011 - 21:13
fonte

Leggi altre domande sui tag