Descripción y soluciones de 36 vulnerabilidades comunes en las pruebas de penetración WEB: métodos HTTP inseguros

Descripción de la vulnerabilidad: el servidor de destino habilita métodos de transmisión inseguros, como PUT, TRACE, DELETE, MOVE, etc. , probablemente use Webdav en el servidor. Debido a que el método DAV permite a los clientes manipular archivos en el servidor, si DAV no está configurado correctamente, podría permitir que usuarios no autorizados lo utilicen para modificar archivos en el servidor.

Solución:

(1) Desactive los métodos de transmisión inseguros y recomiende los métodos POST y GET.

(2) Si el servidor no necesita admitir WebDAV, desactívelo. O configure permisos de acceso estrictos para directorios que permitan webdav, como métodos de autenticación, nombres de usuario y contraseñas necesarios para la autenticación, etc.