HTTP (HyperText Transfer Protocol - 超本文傳輸協定) 是目前網頁伺服器所使用的傳輸協定,其提供一種 PUT method 以讓 Client 端可以上傳檔案至 Server 端。在大部分的網頁伺服器預設組態下,PUT method 應該是無法隨意使用,因為啟動 PUT method 將使攻擊者可任意上傳檔案至 Server 端,達到其置換網頁的目的,若攻擊者上傳惡意程式至有執行權限的目錄,將可達到更大的破壞。最近發現部分單位遭利用 HTTP PUT置換網頁,請對所屬網頁伺服器進行檢查,以防網站遭駭。
微軟 IIS 系統請完成以下三個步驟以預防不預期的 HTTP PUT:
1. 如果該網站不需使用 WebDAV (Web Distribution Authoring and Versioning),建議將其關閉。目前確認 FrontPage 會使用 WebDAV,若不確定是否使用 WebDAV,建議可先行關閉,若發現網站因此無法正常運作再將其啟用。欲關閉 WebDAV,請執行 regedit,於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
加入以下registry value:
Value name: DisableWebDAV
Data type: DWORD
Value data: 1
需重新啟動IIS以使用新設定,若要再次啟用 WebDAV 則將其值設為 0。
2. 執行 Internet 服務管理員,檢查系統上所有的 Web 站台的權限,在選取的 Web 站台上按右鍵選內容,點選主目錄,確認寫入權限未被核取,對於其下的所有虛擬目錄也請一併檢查。
3. 強化 Web 所在資料夾 (一般為 %SystemDrive%\Inetpub\wwwroot) 存取權限,該資料夾對於 Internet 來賓帳戶 (IUSR_MachineName) 或 Everyone 等帳戶,通常僅需提供讀取權限即可。
本文轉貼自 "資安論壇":
http://www.icst.org.tw
