it-swarm-korea.com

WebDAV는 IIS7.5에서 불합리한 위험을 초래합니까?

이 경우 IIS7.5에서 실행되는 WebDAV에 대한 약간의 피드백을 찾고 있습니다. 응답 헤더의 DAV 항목의 결과로 중간 심각도를 발견 한 IBM Rational AppScan 보고서를 받았습니다.

나는 WebDAV가 과거에 문제가 있었음을 알고 있지만 Microsoft는 IIS7.5에서 개선 사항이 있다고 느끼는 것 같습니다 (정보 여기여기 ). 그래서 질문은 이것이다 : IIS7.5의 WebDAV가 조치를 취하기에 충분한 위험을 내포합니까? IIS7.5 형식으로 악용 된 전례가 있습니까?

물론 항상 "필요하지 않으면 끄십시오"라는 주장이 있지만 몇 가지 물류 상황으로 인해이 시나리오에서는이 작업이 조금 더 어려워집니다. 나는 또한 이러한 취약점 스캔이 약간의 헛수고가 될 수 있다는 것을 알고 있으며 필요한 경우 "거짓 긍정"을 주장하게되어 기쁩니다.

6
Troy Hunt

WebDAV는 무엇보다 구성의 악몽에 가깝습니다. 잘못 구성되면 응용 프로그램 파일에 액세스 할 수 있고, 디렉터리를 통과하고, 인증을 우회하는 등의 전체 호스트에 취약해질 수 있습니다.

사용하지 않는 경우 기본 설정은 IIS 보안 모델에 따라 상당히 안전합니다. 사용중인 경우 적절한 생성이 필요하므로 다른 문제가 발생합니다.) 주변의 위협 모델.

말했듯이 사용하지 않으면 끄십시오. WebDAV는 현재 상당히 안전하지만 미래의 0 일로부터 사용자를 보호하지는 않습니다.

3
Steve