¿Representa WebDAV un riesgo irrazonable en IIS7.5?

6

Estoy buscando un poco de comentarios sobre WebDAV, en este caso ejecutándose en IIS7.5. He recibido un informe de IBM Rational AppScan con un resultado de gravedad media como resultado de las entradas de DAV en los encabezados de respuesta.

Estoy consciente de que WebDAV ha tenido sus problemas en el pasado, pero Microsoft parece sentir que las mejoras han sido en IIS7.5 (información here y aquí ). Entonces la pregunta es esta: ¿WebDAV en IIS7.5 representa un riesgo suficiente para justificar la acción? ¿Hay precedentes de que se explote en forma IIS7.5?

Por supuesto, siempre existe el argumento de "apagarlo a menos que lo necesites", pero un par de situaciones logísticas hacen que esto sea un poco más difícil en este escenario. También estoy consciente de que estos análisis de vulnerabilidad pueden ser un poco impredecibles y me alegra decir que son "falsos positivos" si es necesario.

    
pregunta Troy Hunt 06.02.2011 - 20:58
fuente

1 respuesta

3

WebDAV es más una pesadilla de configuración que cualquier otra cosa. Si está mal configurado, puede provocar una gran cantidad de vulnerabilidades, como poder acceder a los archivos de la aplicación, atravesar el directorio, omitir la autenticación, etc.

Si no lo está utilizando, la configuración predeterminada parece ser razonablemente segura, según el modelo de seguridad de IIS. Si lo ESTÁ utilizando, eso plantea un problema diferente, ya que necesita crear un modelo de amenaza adecuado a su alrededor.

Como dijiste, apágalo si no lo estás utilizando. WebDAV es razonablemente seguro en este momento, pero eso no lo protege de futuros 0 días.

    
respondido por el Steve 06.02.2011 - 21:13
fuente

Lea otras preguntas en las etiquetas