【问题标题】:how to disable insecure http methods(OPTIONS,PUT,DELETE)如何禁用不安全的 http 方法(OPTIONS、PUT、DELETE)
【发布时间】:2018-03-07 17:29:15
【问题描述】:

我有一个托管在 IIS 8.5 中的 Web 应用程序。我想禁用不安全的 http 方法(OPTIONS、PUT、DELETE)。 所以要检查该方法是否被禁用,我正在使用 burp 套件。

我已通过导航到 Requestfiltering-> HTTPVerbs ->DenyVerbs 禁用并在 IIS 中添加了 PUT 和 DELETE。

当我尝试在 burp 套件中使用 PUT 方法时,它显示 HTTP/1.1 404 Not Found.404 - 找不到文件或目录。 我的期望是如果禁用了 HTTP 方法,并且当我们使用 burpsuite 尝试该方法时,它应该显示“405 Method Not Allowed”。

【问题讨论】:

  • 在哪里可以找到 http 错误子状态?
  • 嗨,我在 IIS 日志中发现了错误子状态。2017-09-27 13:27:13 53656454764 OPTIONS / - 443 - 54435435435 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+ X+10.12;+rv:55.0)+Gecko/20100101+Firefox/55.0 blahblahhdhskh.com 404 6 0 155. 最后一个数字 404 和子状态 6 表示动词被拒绝

标签: iis-8 http-put requestfiltering


【解决方案1】:

您需要在 web.config 文件中进行这些设置。

<system.web>
...
  <httpHandlers>
  ... 
    <add path="*" verb="OPTIONS" type="System.Web.DefaultHttpHandler" validate="true"/>
    <add path="*" verb="TRACE" type="System.Web.DefaultHttpHandler" validate="true"/>
    <add path="*" verb="HEAD" type="System.Web.DefaultHttpHandler" validate="true"/>

For more information, look at the BrutalDev's post

【讨论】:

    猜你喜欢
    • 2012-03-25
    • 1970-01-01
    • 1970-01-01
    • 2014-03-08
    • 2023-03-26
    • 1970-01-01
    • 2019-10-28
    • 1970-01-01
    • 2016-11-19
    相关资源
    最近更新 更多