Por que o PROPFIND e o DAV aparecem nos cabeçalhos de resposta quando o WebDAV é desativado?

Navegue suas respostas
1

Eu tenho um desafio que espero que alguém tenha algumas idéias. Estou no processo de implantar um aplicativo da Web em um ambiente compartilhado com um host executando o IIS7.5. Uma varredura de segurança mostrou que o WebDAV está ativado e que uma parada foi colocada no site em operação até que seja desativada.

Desde essa descoberta, o host conseguiu primeiro desabilitar manualmente o WebDAV para o site diretamente no IIS (não uma configuração que expusemos no gerenciador do IIS) e depois fornecer um switch no painel de controle on-line para desativá-lo. Eu posso adicionar com sucesso um local de rede e conectar-me remotamente ao sistema de arquivos enquanto ele estiver ligado, mas não consigo fazê-lo assim que eu o desligar tão funcionalmente que a configuração parece funcionar.

Infelizmente, o site ainda está retornando um cabeçalho PROPFIND de aceitação e um cabeçalho Ms-Author-Via: DAV e essa parece ser a base na qual o verificador de segurança faz suas recomendações.

Portanto, a questão é a seguinte: o comportamento esperado é que, quando o WebDAV está desabilitado para um site, mas habilitado para outros na mesma máquina, os cabeçalhos de resposta desse site devem refletir o que estou vendo acima? E isso é por design ou há algo mais que deve ser feito na configuração em nível de site individual para evitar isso?

    
por Troy Hunt 28.02.2011 / 09:09

2 respostas

1

Olá, espero que isso seja de alguma ajuda para você:

link

Embora seja para o iis 5/6, há boas informações sobre segurança.

Experimente alguns dos passos opostos aqui:

link

Embora esta não seja uma resposta direta à sua pergunta, espero que seja de alguma ajuda para você encontrar uma.

    
por 04.03.2011 / 01:18
1

Eu não posso contribuir com uma correção para o IIS, mas posso responder sua pergunta sobre se isso é um comportamento normal.

O cabeçalho MS-Author-Via: DAV não deve ter consequências. Vale a pena notar que o Apache inclui este cabeçalho quando o módulo DAV é simplesmente carregado, independentemente de o URL que está sendo solicitado tenha o DAV ativado. Portanto, o scanner de segurança não deve fazer recomendações baseadas apenas nesse cabeçalho.

No entanto, aceitar um pedido PROPFIND para o URL é problemático. O comportamento do Apache é recusar solicitações PROPFIND para URLs que não possuem DAV ativado. Por exemplo: 

telnet www.somewhere.com 80
PROPFIND /

retornos do servidor: 

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method PROPFIND is not allowed for the URL /.</p>
<hr>
<address>Apache/2.2.24 (Unix) DAV/2 Server at www.somewhere.com Port 80</address>
</body></html>
    
por 29.11.2013 / 00:48

Tags

Confie no meu domínio de trabalho em um domínio de Dev sem uma senha de nível de domínio O domínio raiz perdido