安全团队在我们的SharePoint 2013门户网站上运行渗透测试后,他们报告了以下错误:
"在Web服务器上启用了HTTP PUT。文件/19fd6ed3e1.txt使用PUT动词上传到服务器,随后使用GET动词检索文件内容。"
根据我的经验,我知道我们可以通过修改web.config文件来禁用特定ASP.NET站点上的HTTP动词,如下所示:
<authorization>
<deny verbs="PUT" users="*"/>
</authorization>
我的问题是:如果我禁用PUT动词可能会影响哪些功能列表(或者,至少只允许经过身份验证的用户使用)?我可以用比中央政府更安全的方式做到这一点吗?
答案 0 :(得分:1)
在SharePoint 2010中,上载多个文件时需要PUT谓词。 如果禁用PUT动词,则无法使用多个文件上传功能。 我认为此行为与SharePoint 2013相同