主要节点配置:
[options]
UseAllowVerbs=0 //禁用模式
[AllowVerbs] //禁用某些危险请求
DELETE
SEARCH
COPY
MOVE
PROPFIND
PROPPATCH
MKCOL
LOCK
UNLOCK
PUT
TRACE
上述配置中访问路径中包含中文字符则会异常,需修改节点:
AllowHighBitCharacters=1
说明:此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
配置文件修改完成,保存后重启iis,在cmd命令中输入:iisreset
重启完成,测试:
使用火狐插件 poster,选择options项,访问网站,即可看到打开页面异常。 至此修复完成。
此文章谨以此提供给还受Appscan扫描漏洞而找不到修复方案的同学们。
欢迎大家踊跃讨论并指出不足或错误的地方,一定及时改进。