可公開寫入的目錄

high Web App Scanning Plugin ID 98099

語系：

概要

可公開寫入的目錄

說明

有多種方法可將一個或多個檔案上傳至 Web 伺服器，HTTP「PUT」方法就是其中之一。「PUT」方法主要在應用程式開發期間使用，允許開發人員在 web root 內的伺服器上上傳 (或放置) 檔案。

根據設計的本質，「PUT」方法通常不提供任何篩選，因此允許將伺服器端的可執行程式碼 (PHP、ASP 等) 上傳至伺服器。

網路不法份子會搜尋支援「PUT」方法的伺服器，意圖修改現有頁面，或上傳 Web Shell 以控制伺服器。

掃描程式發現，受影響的路徑允許用戶端使用「PUT」方法。在此測試期間，掃描程式會在伺服器的 web root 中「PUT」一個檔案，然後成功地對其位置執行「GET」要求並驗證內容。

解決方案

應儘可能全域停用 HTTP「PUT」方法，這通常可以透過在伺服器上執行簡單的設定變更來完成。停用「PUT」方法的步驟會視所使用的伺服器類型 (IIS、Apache 等) 而有所不同。
針對需要使用「PUT」方法才能符合應用程式功能的情況，例如 REST 樣式 Web 服務，應實作嚴格的限制，以確保只允許安全 (啟用 SSL/TLS) 且經授權的用戶端使用「PUT」方法。
此外，伺服器的檔案系統權限也應強制執行嚴格的限制。