最近收到客戶寄來的資安Report,裡面說我們的Web Server允許OPTIONS method。
那要如何關閉它呢?
最近收到客戶寄來的資安Report,裡面說我們的Web Server允許 OPTIONS method。
OPTIONS method提供將Web Server Support的method list出來。如下,
可以透過 Fiddler 來測試,如下,
所以可能會暴露敏感資訊,幫助惡意用戶更有機會的來功擊系統。
建議我們將 OPTIONS method 給關掉!
那要如何關掉它呢?
在Windows 2008(IIS 7.X)可以透過「要求篩選」去「設定指令動詞」,在網頁伺服器中安全性裡的(要求篩選),如下圖,
因為Windows 2008 預設沒有 UI 可以設定,所以透過 Command 的方式來設定,如下,
cd %windir%\system32\inetsrv
appcmd set config /section:requestfiltering /+verbs.[verb='OPTIONS',allowed='false']
詳細請參考「設定 IIS 7 中的要求篩選」。
或是安裝「 Administration Pack 」,就會有 UI 可以設定了(Windows 2008 R2就有內建的UI),如下,
再來利用 Fiddler 測試,就會出現 404 Not Found ,如下,
如果是Windows 2003 (IIS 6),要如何關掉呢?
可以透過 UrlScan 來幫忙。
安裝 UrlScan 之後,可以在IIS的ISAPI 篩選器中加入UrlScan,如下,
詳細設定方式,請參考「如何設定 URLScan 工具」。
同樣的,設定 UrlScan 之後,再用 Fiddler 測試,也會出現 404 Not Found 。
最後,感謝公司MIS Henry 及 Wilson的幫忙。
參考資料
Test HTTP Methods (OTG-CONFIG-006)
Hi,
亂馬客Blog已移到了 「亂馬客 : Re:從零開始的軟體開發生活」
請大家繼續支持 ^_^
