Microsoft IIS WebDAV安全漏洞

0x01 漏洞简介

           Windows Server是微软发布的一系列服务器操作系统。Internet Information Services（IIS）是一套运行于Microsoft Windows中的互联网基本服务。Microsoft Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的‘ScStoragePathFromUrl’函数存在缓冲区溢出漏洞。远程攻击者可通过发送特制的PROPFIND请求利用该漏洞执行任意代码。

0x02 修复方式

1. 关闭IIS下的WebDAV服务

2. 若直接关闭WebDAV会对您的业务造成影响，可针对WebDAV开放的方法进行灵活配置，如禁用PROPFIND方法：
1) 安装微软发布的IIS安全加固工具UrlScan，UrlScan的默认安装就会屏蔽WebDAV的功能；
下载地址：https://technet.microsoft.com/en-us/security/cc242650.aspx
2) 配置urlscan.ini文件，对请求方法进行过滤

欢迎大家分享更好的思路，热切期待^^_^^ !