Estoy buscando un poco de comentarios sobre WebDAV, en este caso ejecutándose en IIS7.5. He recibido un informe de IBM Rational AppScan con un resultado de gravedad media como resultado de las entradas de DAV en los encabezados de respuesta.
Estoy consciente de que WebDAV ha tenido sus problemas en el pasado, pero Microsoft parece sentir que las mejoras han sido en IIS7.5 (información here y aquí ). Entonces la pregunta es esta: ¿WebDAV en IIS7.5 representa un riesgo suficiente para justificar la acción? ¿Hay precedentes de que se explote en forma IIS7.5?
Por supuesto, siempre existe el argumento de "apagarlo a menos que lo necesites", pero un par de situaciones logísticas hacen que esto sea un poco más difícil en este escenario. También estoy consciente de que estos análisis de vulnerabilidad pueden ser un poco impredecibles y me alegra decir que son "falsos positivos" si es necesario.