WebDAVはIIS7.5に不当なリスクをもたらしますか?
WebDAVについて少しフィードバックを探しています。この場合はIIS7.5で実行しています。 IBM Rational AppScanレポートを受け取って、応答ヘッダーのDAVエントリーの結果として中程度の重大度の発見がありました。
私はWebDAVに過去に問題があったことを意識していますが、MicrosoftはIIS7.5に改善があったと感じているようです(info here and here )。それで問題はこれです:IIS7.5上のWebDAVは行動を正当化するのに十分なリスクをもたらしますか? IIS7.5形式で悪用される前例はありますか?
もちろん、「必要なとき以外はオフにする」という議論は常に存在しますが、このシナリオでは、いくつかのロジスティックな状況により、これが少し難しくなります。私はまた、これらの脆弱性スキャンは少し見当違いの傾向がある可能性があることを意識しており、必要に応じて「誤検知」を喜んで主張します。
WebDAVは、何よりも構成の悪夢です。それが誤って構成されている場合、アプリケーションファイルへのアクセス、ディレクトリトラバーサル、認証のバイパスなどの脆弱性のホスト全体につながる可能性があります。
使用していない場合、IISセキュリティモデルに基づいているため、デフォルト設定は明らかに安全です。使用している場合、適切な作成が必要になるため、別の問題が発生します。その周りの脅威モデル。
あなたが言ったように、それを使用していない場合はオフにします。現在のところWebDAVはかなり安全ですが、それでも将来の0日間から保護することはできません。