在 IIS 6 上允许 DELETE 动词是否存在任何安全问题?DELETE 动词在 IIS 中默认执行任何操作吗(即:如果安全性设置不正确,是否可以使用它删除文件等?)
我正在开发一个 REST 应用程序,并计划在某些请求中使用 http DELETE 动词。我们的服务器管理员安装了 UrlScan,并将其设置为仅允许 GET 和 POST 动词。UrlScan 无法选择性地允许某些路径,规则只是打开或关闭,因此它对整个网站都启用了。他们不情愿地为我启用了 DELETE,但我不想在不知情的情况下打开安全漏洞。
答案1
如果 IIS 用户(如果其未从默认本地系统更改,则会出现问题)具有删除权限,则攻击者可以使用该权限删除本地系统中的文件。WebDAV 就是使用这种方法工作的。
有一个 stackoverflow 答案涉及不使用 PUT 和 DELETE 的解决方法
https://stackoverflow.com/questions/23963/restful-web-services-and-http-verbs