sharepoint项目遇到的WebDAV和HTTP PUT的安全隐患解决办法

最近一个项目,客户进行了安全检测,检测出如下安全隐患,其实这些隐患全是IIS设置的事情

image

 

许多人误认为SharePoint是在使用由IIS提供的WebDAV功能. 实际上, SharePoint在Stsfilt.dll这个ISAPI Filter中提供了它自己的WebDAV的实现, 这个ISAPI Filter会安装在WSS和MOSS上的, 在IIS开启或关闭WebDAV扩展对于SharePoint的功能没有影响。

常见服务器入侵威胁:

1. webdav直接上传webshell

2. 通过程序文件上传漏洞上传webshell

3. webshell的权限过高导致被提权

1. 解决webdav问题

在安装的时候直接不安装webdav组件,如下图:

clip_image002[6]

如果已经安装的WebDAV的,则在IIS管理器禁用,如下图:

找到对应站点,如下图:

clip_image004[6]

禁用如下:

clip_image006[6]

2、解决HttpPut问题

当IIS中的配置允许写入的时候就可以直接PUT文件上去,由此可能引发非常严重的安全问题,强烈建议禁制,当开启了WebDAV后,IIS中又配置了目录可写,便会产生很严重的问题。 wooyun上由此配置产生的问题很多,并且有老外黑了一群中国政府站有一部分就是由于此配置。危害巨大,操作简单,直接批量扫描,上传shell。

禁用方法:

第一步,在IIS的左侧 选中该目录,切换到功能视图。

第二步,打开“处理程序映射”功能。

clip_image008[6]

第三步,打开右侧的“编辑功能权限”,将“脚本”这一项取消掉即可

clip_image010[6]

禁用sp2103的本身的web dav方法

1、 打开SP2013的管理中心,找到【应用程序设置】-【管理web应用程序】如下图:

clip_image012[6]

2、 找到对应的web app,打开【身份验证提供程序】如下图:

clip_image014[6]

3、 禁用【客户端集成】功能如下图:

clip_image016[6]

保存即可。

你可能感兴趣的:(SharePoint)