WebDAV被曝存在目录写权限漏洞

    近日，一份安全通告称，应用广泛的通信协议WebDAV存在目录写权限高危漏洞，攻击者可上传任意文本文件，并结合服务器解析漏洞达到上传WebShell的目的，最高可能导致源代码泄露。预估全国范围内接近60,000 网站存在此漏洞，一旦黑客发动大规模攻击，大量网站将损失惨重。

    据了解，WebDAV(Web-based Distributed Authoring and Versioning)是一种基于 HTTP 1.1协议的通信协议，一般用来发布和管理Web资源，包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV，这也导致该漏洞波及范围较广。事实上，该WebDAV漏洞属于配置缺陷，于数年前就被曝光，但由于部分站长安全意识较为薄弱，所以该漏洞至今仍广泛存在。

    经分析，攻击者的目标为使用IIS服务器并启用WebDAV的网站，主要攻击方式为以下四种：

    1、 直接上传文本格式木马文件;

    2、 修改网站原有文件(如CSS样式文件)实现挂马;

    3、 通过Move方法上传ASP格式的木马文件;

    4、 结合IIS6.0文件名解析漏洞，上传xxx.asp;aa.txt木马文件。

    鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害，强烈建议网站管理员禁用WebDAV功能，并定期使用安全软件随时监控网站安全状态。