У меня есть небольшая проблема, и я надеюсь, что у кого-то есть идеи. Я занимаюсь развертыванием веб-приложения в общей среде с хостом, на котором запущен IIS7.5. Сканирование безопасности показало, что WebDAV включен и сайт остановлен, пока он не отключится.
После этого открытия хост смог сначала вручную отключить WebDAV для сайта непосредственно в IIS (не параметр, который мы выставили в диспетчере IIS), а затем предоставить переключатель на своей онлайн-панели управления, чтобы отключить его. Я могу успешно добавить сетевое место и удаленно подключиться к файловой системе, пока она включена, но не могу этого сделать, как только отключу ее настолько функционально, что настройка, похоже, работает.
К сожалению, сайт по-прежнему возвращает заголовок accept PROPFIND и Ms-Author-Via: DAV, и это, по-видимому, основа, на которой сканер безопасности дает свои рекомендации.
Итак, вопрос в следующем: ожидается ли поведение, когда WebDAV отключен для одного сайта, но включен для других на том же компьютере, заголовки ответа для этого сайта должны отражать то, что я вижу выше? И это задумано, или есть что-то еще, что нужно сделать с умом при настройке на уровне отдельного сайта, чтобы этого избежать?
Я не могу внести свой вклад в исправление IIS, но могу ответить на ваш вопрос о том, нормально ли это.
Заголовок MS-Author-Via: DAV не должен иметь никакого значения. Стоит отметить, что Apache включает этот заголовок при простой загрузке модуля DAV, независимо от того, включен ли DAV для запрашиваемого URL. Таким образом, сканер безопасности не должен давать рекомендации, основанные исключительно на этом заголовке.
Однако принять запрос PROPFIND для URL-адреса проблематично. Поведение Apache состоит в том, чтобы отклонять запросы PROPFIND для URL-адресов, для которых не включен DAV. Например.:
telnet www.somewhere.com 80
PROPFIND /
сервер возвращает:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method PROPFIND is not allowed for the URL /.</p>
<hr>
<address>Apache/2.2.24 (Unix) DAV/2 Server at www.somewhere.com Port 80</address>
</body></html>
Привет, я надеюсь, что это вам поможет:
http://unixwiz.net/techtips/ms971492-webdav-vuln.html
Хотя это для iis 5/6, у него есть хорошая информация о безопасности.
Попробуйте здесь сделать несколько противоположных шагов:
http://learn.iis.net/page.aspx/350/installing-and-configuring-webdav-on-iis-7/
Хотя это не прямой ответ на ваш вопрос, я надеюсь, что это поможет вам в его поиске.