http IIS 方法配置漏洞-解网

问：

我有一个关于http IIS方法配置信息泄露的漏洞，为了解决这个问题，有人建议我禁用方法OPTIONS，TRACE和HEAD。由于在端口 8080 中找到了支持的方法： OPTIONS TRACE GET HEAD POST.如何解决此漏洞而不影响服务器或应用程序，因为它正在运行。有没有其他解决方案可以解决这个漏洞？

The problem

There is nothing in http verbs, Is there a possibility that the default methods are disabled and nothing needs to be done to fix the vulnerability?

我正在尝试禁用这些方法，但他们告诉我，在我申请之前，我必须确保这将解决问题，我不确定这是否是解决方案。我必须在其他服务器中进行测试。

Windows HTTP 安全 IIS 方法

评论

0赞 Lex Li 10/19/2023

复制到 stackoverflow.com/questions/54582354/...

0赞 YurongDai 10/20/2023

在测试服务器上，禁用 HTTP 方法 OPTIONS 和 TRACE 并监视服务器的行为。在 IIS 中，可以使用 URL 重写模块执行此操作。使用这些方法创建重写规则以阻止请求。但不要禁用 GET 和 HEAD 方法，因为它们对于提供 Web 内容至关重要。

答：

0赞 YurongDai 11/14/2023 #1

禁用 HTTP 方法 OPTIONS、TRACE 和 HEAD 确实是缓解信息泄露漏洞的一个步骤。但是，必须在不影响生产环境的情况下对其进行测试，以确保它不会对服务器或应用程序的功能产生负面影响。

在进行任何更改之前，请确保您已备份当前服务器配置。如果出现问题并且需要恢复到以前的状态，这一点至关重要。

修改服务器配置以禁用 OPTIONS、TRACE 和 HEAD 方法。这通常可以在 IIS 配置文件中或通过 IIS 管理器完成。

<system.webServer>
   <security>
     <requestFiltering>
       <verbs>
         <remove verb="OPTIONS" />
         <remove verb="TRACE" />
         <remove verb="HEAD" />
       </verbs>
     </requestFiltering>
   </security>
</system.webServer>

上一个：Jaspersoft Studio App Transport Security - 无法加载报告

下一个：浏览器真的会阻止外部内容吗？[关闭]