关于IIS WebDAV认证绕过问题的解答

我们收到了一些客户关于IIS上WebDAV认证绕过问题的询问。我们在此发布常见问题及解答，以帮助其他可能有相同疑问的人。

问题：SharePoint是否受此认证绕过漏洞影响？

回答： 否，SharePoint不受此漏洞影响。SharePoint团队使用的代码与IIS不同。他们的DAV服务器针对其后端SQL存储，而不是文件系统。

问题：Outlook Web Access (OWA)是否受此认证绕过漏洞影响？

回答： 否，OWA不受此漏洞影响。Exchange 2007及更早版本支持WebDAV协议，但它们是使用Exchange的WebDAV实现，仅对Exchange存储进行读写操作，不直接与文件系统交互。

问题：如何查找环境中运行WebDAV的IIS服务器？

回答： 您可以使用服务器上的IIS管理器界面快速判断服务器是否运行WebDAV。如果想远程操作，可以直接向服务器发送HTTP请求：

1
2
3
4
5

$ telnet server 80

OPTIONS / HTTP/1.1
Host: server
Accept: */*

（在Accept后的空行额外按Enter键将完成对Web服务器的请求。）

如果您收到如下所示的HTTP响应，则服务器正在运行WebDAV：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

HTTP/1.1 200 OK
Date: Wed, 20 May 2009 00:52:58 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <!--?XML:NAMESPACE PREFIX = DAV /--><dav:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private</dav:sql>

要评估响应中是否存在WebDAV，请使用以下逻辑：

• 收到对站点根目录的OPTIONS请求的2xx响应状态。
• 响应包含值为1,2的DAV头。
• 响应包含包含DAV值的MS-Author-Via头。
• 响应不包含X-MSDAVEXT头。此头的存在表示它是SharePoint的DAV。

要测试仅接受HTTPS连接的服务器，您可以使用wfetch等工具。

问题：WebDAV服务器与WebDAV重定向器/迷你重定向器有何区别？

回答： WebDAV服务器是一个服务器端组件，用于在IIS中促进WebDAV发布。WebDAV服务器是本博客、之前的SRD博客和MSRC安全公告中讨论的组件。

Windows还包括客户端组件，使与WebDAV服务器的交互更加容易。客户端组件不受此认证绕过漏洞影响。WebDAV重定向器是通过WebDAV协议的远程文件系统，允许Windows客户端机器通过命令行连接到WebDAV发布目录。WebDAV重定向器使您能够像操作映射网络驱动器上的文件一样操作Web上的文件。WebDAV迷你重定向器也称为WebClient服务。此服务使启用DAV的文件夹显示为通用命名约定（UNC）共享。

如果您对此漏洞有任何疑问，请告知我们。谢谢！

• Jonathan Ness, MSRC Engineering 发布内容“按原样”提供，不提供任何担保，也不授予任何权利。