如何禁用不安全的http方法(OPTIONS,PUT,DELETE)
问题描述:
我有一个托管在IIS 8.5中的Web应用程序。我想禁用不安全的http方法(OPTIONS,PUT,DELETE)。 所以检查方法是否禁用或不使用打嗝套件。如何禁用不安全的http方法(OPTIONS,PUT,DELETE)
我已经通过导航到Requestfiltering-> HTTPVerbs - > DenyVerbs并在IIS中添加了PUT和DELETE来禁用。
当我在Burp套件中尝试使用PUT方法时,它显示HTTP/1.1 404 Not Found.404 - 找不到文件或目录。 我的期望是,如果一个HTTP方法被禁用,当我们尝试使用burpsuite的方法时,它应该显示“405方法不允许”。
答
您需要在web.config文件中进行这些设置。
<system.web>
...
<httpHandlers>
...
<add path="*" verb="OPTIONS" type="System.Web.DefaultHttpHandler" validate="true"/>
<add path="*" verb="TRACE" type="System.Web.DefaultHttpHandler" validate="true"/>
<add path="*" verb="HEAD" type="System.Web.DefaultHttpHandler" validate="true"/>
我在哪里可以找到HTTP错误子状态? – subash
嗨,我发现IIS日志中的错误子状态.2017-09-27 13:27:13 53656454764选项/ - 443 - 54435435435 Mozilla/5.0 +(Macintosh; + Intel + Mac + OS + X + 10.12; + rv: 55.0)+ Gecko/20100101 + Firefox/55.0 https://blahblahhdhskh.com 404 6 0 155.最后一个404和子状态6表示动词被拒绝 – subash