[IIS]OPTIONS method is enabled

  • 15294
  • 0
  • IIS
  • 2013-12-11

最近收到客戶寄來的資安Report,裡面說我們的Web Server允許OPTIONS method。
那要如何關閉它呢?

最近收到客戶寄來的資安Report,裡面說我們的Web Server允許 OPTIONS method

OPTIONS method提供將Web Server Support的method list出來。如下,

可以透過 Fiddler 來測試,如下,

image

image

 

所以可能會暴露敏感資訊,幫助惡意用戶更有機會的來功擊系統。

建議我們將 OPTIONS method 給關掉!

那要如何關掉它呢?

在Windows 2008(IIS 7.X)可以透過「要求篩選」去「設定指令動詞」,在網頁伺服器中安全性裡的(要求篩選),如下圖,

image

因為Windows 2008 預設沒有 UI 可以設定,所以透過 Command 的方式來設定,如下,

cd %windir%\system32\inetsrv
appcmd set config /section:requestfiltering /+verbs.[verb='OPTIONS',allowed='false']

image

詳細請參考「設定 IIS 7 中的要求篩選」。

或是安裝「 Administration Pack 」,就會有 UI 可以設定了(Windows 2008 R2就有內建的UI),如下,

image

image

image

image

 

再來利用 Fiddler 測試,就會出現 404 Not Found ,如下,

image

 

如果是Windows 2003 (IIS 6),要如何關掉呢?

可以透過 UrlScan 來幫忙。

安裝 UrlScan 之後,可以在IIS的ISAPI 篩選器中加入UrlScan,如下,

image

詳細設定方式,請參考「如何設定 URLScan 工具」。

 

同樣的,設定 UrlScan 之後,再用 Fiddler 測試,也會出現 404 Not Found 。

最後,感謝公司MIS Henry 及 Wilson的幫忙。

參考資料

HTTP/1.1 Method Definitions

Test HTTP Methods (OTG-CONFIG-006)

Fiddler

設定 IIS 7 中的要求篩選

UrlScan

如何設定 URLScan 工具

Hi, 

亂馬客Blog已移到了 「亂馬客​ : Re:從零開始的軟體開發生活

請大家繼續支持 ^_^