.htaccess 文件的 LIMIT 指令中存在配置错误

medium Web App Scanning 插件 ID 98095

语言：

简介

描述

在 Web 服务器上可以使用多种 HTTP 方法（例如“OPTIONS”、“HEAD”、“GET”、“POST”、“PUT”、“DELETE”等）。每种方法都执行不同的功能，若这些方法在 Web 服务器上允许使用，各自都伴随着一定的风险水平。

Apache 的“.htaccess”文件中的“<Limit>”指令允许管理员定义他们想要阻止的 HTTP 方法。但是，由于这是一种黑名单方式，不可避免的是服务器管理员可能会意外地漏掉要阻止的某些 HTTP 方法，从而增加了应用程序和/或服务器的风险级别。

解决方案

首选配置是通过利用“<LimitExcept>”指令来防止攻击者使用未经授权的 HTTP 方法。
此指令采用白名单方式允许 HTTP 方法，同时会阻止所有未在指令中列出的方法，进而将防止任何对方法的篡改尝试。
通常而言，大多数情况仅需要“GET”和“POST”这两种 HTTP 方法即可。以下是允许使用这些 HTTP 方法的示例：“<LimitExcept POST GET> 需要 valid-user </LimitExcept>”