Моя среда - это IIS 8.5 на сервере Windows 2012 R2. Я также использую Zenmap версии 7.80. Аудит безопасности показал, что IIS включил HTTP-команды OPTIONS и TRACE, которые являются потенциально опасными методами. Если я запустил команду Zenmap:
nmap --script http-methods [HostName]
он возвращает:
PORT STATE SERVICE
80/tcp open http
| http-methods:
| Supported Methods: OPTIONS TRACE GET HEAD POST
|_ Potentially risky methods: TRACE
443/tcp open https
| http-methods:
| Supported Methods: OPTIONS TRACE GET HEAD POST
|_ Potentially risky methods: TRACE
Увидев это, я перехожу к IIS и устанавливаю на уровне сервера, используя модуль фильтрации запросов, на вкладке HTTP Verbs следующее: (используя Deny Verb Link)
OPTIONS False
TRACE False
После этого я снова запустил скрипт Zenmap, и он выдаст следующее:
PORT STATE SERVICE
80/tcp open http
| http-methods:
|_ Supported Methods: GET HEAD OPTIONS
443/tcp open https
| http-methods:
|_ Supported Methods: GET HEAD OPTIONS
Вопросы:
Почему исчез глагол POST? Почему до сих пор появляется глагол OPTIONS?
Спасибо