如何禁用不安全的http方法(OPTIONS,PUT,DELETE)

时间:2017-09-26 13:01:38

标签: iis-8 http-put requestfiltering

我在IIS 8.5中托管了一个Web应用程序。我想禁用不安全的http方法(OPTIONS,PUT,DELETE)。 所以要检查方法是否被禁用我正在使用burp suite。

通过导航到Requestfiltering->我已禁用HTTPVerbs - > DenyVerbs并在IIS中添加了PUT和DELETE。

当我在burp套件中尝试使用PUT方法时,它显示HTTP / 1.1 404 Not Found.404 - 找不到文件或目录。 我的期望是如果禁用HTTP方法,当我们尝试使用burpsuite的方法时,它应该显示“405 Method Not Allowed”。

1 个答案:

答案 0 :(得分:0)

您需要在web.config文件中进行这些设置。

<system.web>
...
  <httpHandlers>
  ... 
    <add path="*" verb="OPTIONS" type="System.Web.DefaultHttpHandler" validate="true"/>
    <add path="*" verb="TRACE" type="System.Web.DefaultHttpHandler" validate="true"/>
    <add path="*" verb="HEAD" type="System.Web.DefaultHttpHandler" validate="true"/>

For more information, look at the BrutalDev's post