WebDAV

info Web App Scanning プラグイン ID 98087

概要

WebDAV

説明

Web Distributed Authoring and Versioning (WebDAV) は、Web サーバーに対する基本的なファイル管理 (読み取りおよび書き込み) を可能にする機能です。この機能により、基本的には Web サーバーをクライアントが従来のファイルシステムとしてマウントできるようになり、ユーザーは、他のメディアやネットワーク共有と同じように、非常に単純な方法でアクセスできるようになります。

発見されると、攻撃者は WebDAV の有効なディレクトリから情報を収集しようとしたり、悪意のあるファイルをアップロードしたりして、サーバーを危険にさらす可能性があります。

スキャナーが、影響を受けるページが WebDAV アクセスを許可していることを検出しました。これは、サーバーが WebDAV に固有のいくつかの特定のメソッド (「PROPFIND」、「PROPPATCH」など) を許可するために検出されました。ただし、スキャナーがこの機能をサポートしているため、WebDAV コンポーネントでさらにテストする必要があります。

ソリューション

WebDAV サーバーを実行する要件の特定を検討する必要があります。必要ない場合は、無効にする必要があります。ただし、アプリケーションの機能を満たすために必要な場合は、強力な認証メカニズムの実装だけでなく、SSL/TLS によっても保護する必要があります。

参考資料

http://en.wikipedia.org/wiki/WebDAV

https://www.ietf.org/rfc/rfc4918.txt

プラグインの詳細

深刻度: Info

ID: 98087

タイプ: remote

ファミリー: Web Servers

公開日: 2017/3/31

更新日: 2022/6/28

スキャン テンプレート: api, basic, full, pci, scan