文章探讨了IIS6.0中启用WebDAV协议可能导致的安全漏洞,如iisput攻击,强调了开启访问者写权限和webdav扩展的影响。此外,还介绍了MOVE请求如何被恶意利用进行文件上传和重命名,以及脚本资源访问对这些操作的影响。
IIS6.0 server在web服务扩展中开启了WebDAV(Web-based Distributed Authoring and Versioning)。WebDAV是一种HTTP1.1的扩展协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,如PUT,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。可以像在操作本地文件夹一样操作服务器上的文件夹,该扩展也存在缺陷,利用PUT方法可直接向服务器上传恶意文件,控制服务器
存在iis put攻击的条件:
- 开启访问者写权限
开启webdav扩展
使用IIS PUT SCANER扫描IP是否可以PUT操作
当我们禁用webdav,可以看到put就失效了
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
