網站輕微漏洞：允許WebDav

什么是webDav

WebDAV （Web-based Distributed Authoring and Versioning） 一種基于 HTTP 1.1協議的通信協議。它擴展了HTTP 1.1，在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法，使應用程序可直接對Web Server直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制。

webDav的危害

當開啟了WebDAV后，IIS中又配置了目錄可寫，便會產生很嚴重的問題。 有老外黑了一群中國政府站有一部分就是由于此配置。 危害巨大，操作簡單，直接批量掃描，上傳shell。

禁用WebDav

server2008，IIS7

打開IIS管理服務器，選擇右邊的ISAPI和CGI限制

在webdav選項上點擊右鍵，選擇拒絕

server2003，IIS6

打開IIS管理器，選擇web服務擴展，在右邊的webDav上選擇禁止

如何檢測網站webdav漏洞
用360網站檢測就可以檢查到網站的漏洞了，檢測地址：http://webscan.360.cn/

漏洞危害
如果WebDAV配置不當，攻擊者就有可以匿名對網站內容進行修改、刪除及上傳任意文件等操作，這可能會導致攻擊者完全控制目標WEB服務器。
有些老版本的WEB服務器實現WEBDAV的相關功能的組件存在很多嚴重的安全漏洞，即使WebDAV權限等配置正確，也會可能因服務器上的組件問題而被黑客所利用進而控制整個服務器
如非絕對必要，請關閉webDAV；
如確需該功能，請更新您的WEB服務器至最新版本，并且正確配置webDAV的訪問權限。