WebDAV

info Web App Scanning Plugin ID 98087

概要

WebDAV

說明

Web Distributed Authoring and Versioning (WebDAV) 是一種可對 Web 伺服器啟用基本檔案管理 (讀取和寫入) 的工具。從本質上講,它允許用戶端將 webserver 掛載為傳統檔案系統,讓使用者能夠以非常簡單的方式存取它,就像他們存取任何其他媒體或網路共用一樣。

若被發現,攻擊者會嘗試從啟用 WebDAV 的目錄擷取資訊,甚至上傳可用來入侵伺服器的惡意檔案。

掃描程式發現受影響的頁面允許 WebDAV 存取。發現此問題的原因在於伺服器允許數個 WebDAV 專屬的特定方法 (「PROPFIND」、「PROPPATCH」等),不過,掃描程式不支援此功能,因此應專門針對 WebDAV 元件執行進一步測試。

解決方案

應考慮識別執行 WebDAV 伺服器的需求。如果不需要,則應將其停用。但是,如果需要符合應用程式功能,則應受到 SSL/TLS 以及強式驗證機制實作的保護。

另請參閱

http://en.wikipedia.org/wiki/WebDAV

https://www.ietf.org/rfc/rfc4918.txt

Plugin 詳細資訊

嚴重性: Info

ID: 98087

類型: remote

系列: Web Servers

已發布: 2017/3/31

已更新: 2022/6/28

掃描範本: api, basic, full, pci, scan