Metodo HTTP PUT di exploit in Microsoft IIS 5.0

Naviga le tue risposte
0

Sto provando a testare se è possibile utilizzare il metodo PUT per caricare il contenuto su un server IIS 5.0. Il WebDav è attualmente abilitato e il metodo PUT è consentito per utenti pubblici / Internet: 

OPTIONS /website HTTP/1.1
Host: www.targetiis.com

HTTP/1.1 200 OK
Date: Fri, 03 Oct 2014 10:18:02 GMT
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <DAV:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private
Content-Type: text/plain

Ma quando uso il metodo PUT, ricevo un messaggio di errore: 

PUT /website/file.txt HTTP/1.1 
Host: www.targetiis.com 
Content-Length: 29

<%response.write("hello")%>

HTTP/1.1 403 Forbidden 
Date: Fri, 03 Oct 2014 10:26:55 GMT 
Server: Microsoft-IIS/5.0 X-Powered-By: ASP.NET 
Content-Type: text/html 
Content-Length: 4096

Quindi qual è il motivo possibile per questa risposta?

    
posta TMR_OS 03.10.2014 - 11:34
fonte

1 risposta

1

Messaggio di stato di stato HTTP 403 significa che il client non ha i diritti di accesso, ecco perché ricevi questa risposta. I metodi HTTP PUT richiedono l'autorizzazione per consentire l'accesso al contenuto del server. Poiché PUT è un metodo pericoloso, se non si utilizza un meccanismo di sicurezza appropriato per limitare gli utenti. Quindi, se vuoi mettere del contenuto sul server, devi usare Autorizzazione, per l'autorizzazione devi conoscere le credenziali, che potresti non sapere perché non sei un amministratore. L'intestazione HTTP con autorizzazione è,

PUT /website/file.txt HTTP / 1.1

Autorizzazione="Autorizzazione" ":" credenziali

Host: www.targetiis.com

Lunghezza contenuto: 29

    
risposta data 03.10.2014 - 12:28
fonte

Leggi altre domande sui tag

Aggiunta del valore hash all'URL fornito dall'utente in un'applicazione Web: qualsiasi vantaggio in termini di sicurezza? Posso mantenere grandi file crittografati nella mia casella di posta sul server del provider di posta?