公开可写目录

high Web App Scanning 插件 ID 98099

语言：

简介

公开可写目录

描述

将文件（或多个文件）上传到 Web 服务器的方法有很多种。其中一种可以采用的方法是使用 HTTP 的“PUT”方法。“PUT”方法主要在应用程序开发过程中使用，该方法可让开发人员在 Web 根目录下的服务器上上传（或放置）文件。

根据其设计特性，“PUT”方法通常不提供任何筛选机制，因此开发人员可将服务器端可执行代码（PHP、ASP 等）上传到服务器上。

网络犯罪分子会寻找支持“PUT”方法的服务器，其目的是修改现有页面或上传 Web Shell，以控制服务器。

扫描程序已发现受影响的路径允许客户端使用“PUT”方法。在此测试期间，扫描程序已使用“PUT”方法将文件上传到服务器的 Web 根目录中，并成功对该文件所在位置执行了“GET”请求并验证了内容。

解决方案

应尽可能全局禁用 HTTP 的“PUT”方法。用户通常可以通过在服务器上进行简单的配置更改来完成此操作。禁用“PUT”方法的步骤因使用的服务器类型（IIS、Apache 等）而有所不同。
对于需要使用“PUT”方法以满足应用程序功能需求的情况（例如 REST 样式 Web 服务），应实施严格的限制，以确保只有安全（启用了 SSL/TLS）和经过授权的客户端才能使用“PUT”方法。
此外，服务器的文件系统权限也应强制实施严格的限制。