it-swarm-es.com

¿WebDAV representa un riesgo irrazonable en IIS7.5?

Estoy buscando algunos comentarios sobre WebDAV, en este caso que se ejecuta en IIS7.5. Recibí un informe de IBM Rational AppScan con un hallazgo de gravedad media como resultado de las entradas de DAV en los encabezados de respuesta.

Soy consciente de que WebDAV ha tenido sus problemas en el pasado, pero Microsoft parece sentir que se han mejorado las mejoras en IIS7.5 (info aquí y aquí ). Entonces, la pregunta es la siguiente: ¿WebDAV en IIS7.5 presenta un riesgo suficiente para justificar una acción? ¿Existen precedentes de que se explote en forma de IIS7.5?

Por supuesto, siempre existe el argumento de "apáguelo a menos que lo necesite", pero un par de situaciones logísticas hacen que esto sea un poco más difícil en este escenario. También soy consciente de que estos análisis de vulnerabilidades tienden a ser un poco impredecibles y estoy feliz de afirmar "falso positivo" si es necesario.

6
Troy Hunt

WebDAV es más una pesadilla de configuración que cualquier otra cosa. Si está mal configurado, puede conducir a una gran cantidad de vulnerabilidades, como poder acceder a archivos de aplicaciones, cruce de directorios, omitir la autenticación, etc.

Si no lo está usando, la configuración predeterminada es aparentemente razonablemente segura, basada en el modelo de seguridad IIS. Si lo está usando, eso plantea un problema diferente, ya que necesita crear un modelo de amenaza a su alrededor.

Como dijiste, apágalo si no lo estás usando. WebDAV es razonablemente seguro en este momento, pero eso no lo protege de futuros días 0.

3
Steve