WebDAV (Web-based Distributed Authoring and Versioning) 一種基於 HTTP 1.1協議的通訊協定.它擴充了HTTP 1.1,在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法,使應用程式可直接對Web Server直接讀寫,並支援寫檔案鎖定(Locking)及解鎖(Unlock),還可以支援檔案的版本控制。
描述: 目標開啟了WebDAV。
WebDAV(Web-based Distributed Authoring and Versioning)是基於HTTP 1.1的擴充協議,它在HTTP定義的標準方法的基礎上增加了一些新的方法,通過這些方法應用程式可以直接在WEB伺服器上寫入、刪除檔案等操作。
危害:
1.如果WebDAV配置不當,攻擊者就有可以匿名對網站內容進行修改、刪除及上傳任意檔案等操作,這可能會導致攻擊者完全控制目標WEB伺服器。
2.有些老版本的WEB伺服器實現WEBDAV的相關功能的組件存在很多嚴重的安全性漏洞,即使WebDAV許可權等配置正確,也會可能因伺服器上的組件問題而被駭客所利用進而控制整個伺服器
解決方案:
1、如非絕對必要,請關閉webDAV;
2、如確需該功能,請更新您的WEB伺服器至最新版本,並且正確配置webDAV的存取權限。
關閉方法:
在 IIS6 中禁用 WebDAV 非常簡單,只需在 Windows 2003 的安裝和卸載 Windows 組件中,找到應用程式伺服器部分,並進入 IIS 組件選項,去掉 WebDAV 前面的勾選,然後重新啟動 IIS 即可。
Microsoft windows2000/XP及IE, Office還有Adobe/MacroMedia的DW等都支援Webdav,這又大大增強了Web應用的價值,以及效能。對於需要大量發布內容的使用者而言,應用WebDav可以降低對CMS系統的依賴,而且能夠更自由的進行創作。上傳、下載變得輕鬆自如。
網頁分工編寫及版本管理 (WebDAV) 擴充了 HTTP/1.1 協議,允許用戶端發布、鎖定和管理 Web 上的資源,與 IIS 整合後。
WebDAV 允許用戶端進行下列操作:
處理伺服器上 WebDAV 發布目錄中的資源。使用此功能,其優點例如:
1.具有正確許可權的使用者可以在 WebDAV目錄中複製和移動檔案。
2.修改與某些資源相關聯的屬性。例如,使用者可寫入並檢索檔案的屬性資訊。
3.鎖定並解鎖資源以便多個使用者可同時讀取一個檔案。但每次只能有一個人修改檔案。
4.搜尋 WebDAV 目錄中的檔案的內容和屬性。
在伺服器上設定 WebDAV 發布目錄與通過 Internet 資訊服務嵌入式管理單元設定虛擬目錄一樣簡單。設定好發布目錄後,具有適當許可權的使用者就可以向伺服器發布文檔,並處理目錄中的檔案。在設定 WebDAV 目錄之前,必須首先安裝 Windows XP Professional。
WebDAV 用戶端
可以通過下面列表中描述的任意一種 Microsoft 產品或通過其他任意的支援行業標準 WebDAV 協議的用戶端來訪問 WebDAV 發布目錄。
·Windows XP 通過“添加網路位置嚮導”與 WebDAV 伺服器串連,並顯示 WebDAV 目錄中的內容,如同它是本機電腦上同一檔案系統的組成部分。串連完成之後,就可以拖放檔案、檢索和修改檔案屬性以及執行許多其他檔案系統任務。
·Internet Explorer 5.0 與 WebDAV 目錄串連,使您可以執行通過 Windows XP 所能執行的檔案系統任務。
·Office 2000 通過其中包含的任意應用程式建立、發布、編輯並直接將文檔儲存到 WebDAV 目錄中。
在 WebDAV 中搜尋
一旦與 WebDAV 目錄建立串連,就可以快速搜尋此目錄中檔案的內容和屬性。例如,可以搜尋包含
table 一詞的所有檔案或所有由 Fred 編寫的檔案。
整合式安全性
由於 WebDAV 已與 Windows XP 和 IIS 整合,因此它具有這兩者所提供的安全特性。其中包括 Internet 資訊服務嵌入式管理單元中指定的 IIS 許可權和 NTFS 檔案系統中的自由選擇存取控制清單 (DACL)。有關 IIS 安全性的資訊,請參閱安全性。
由於具有適當許可權的用戶端可以對 WebDAV 目錄進行寫入操作,因此對允許哪些用戶端訪問目錄進行控制向來都很重要。為了協助您控制存取權限,IIS 已內建了對 Kerberos 5 身分識別驗證協議的支援,從而增強了整合 Windows 身分識別驗證的功能。選擇整合 Windows 身分識別驗證,可以確保只有具有許可權的用戶端才可訪問 Intranet 上的 WebDAV 目錄,並對它進行寫入操作。有關 Kerberos 5 身分識別驗證協議如何與 IIS 整合 Windows 身分識別驗證協作的詳細資料,請參閱整合 Windows 身分識別驗證。有關 Kerberos 協議工作原理的總體資訊,請參閱 Windows XP 文檔中的“Kerberos v5 身分識別驗證”。
另外,IIS 還支援摘要式驗證和進階摘要式驗證。摘要式驗證和進階摘要式驗證是針對 Windows 網域服務器建立的,為密碼和通過 Internet 傳輸資訊提供了更嚴格的安全性措施。有關摘要式驗證的資訊,請參閱摘要式驗證和配置摘要式驗證。有關進階摘要式驗證的資訊,請參閱進階摘要式驗證和配置進階摘要式驗證。
WebDAV的優勢
由於 Web 已經成為 Internet 的基礎,因此 HTTP 1.1(超文本傳送協議)被證實是用來傳輸資料的非常靈活的通用協議。 但是,HTTP 存在一些明顯的缺點,從而限制了它作為綜合的 Internet 通訊協議而被採用: 它非常適合用於查看的靜態文檔,但不能提供以足夠複雜(以便向用戶端提供豐富的創作功能)的方式來處理文檔的方法。
例如,當兩個作者在未進行交流的情況下同時對一個文檔變更時,就會出現“更新丟失”問題。 只有由最後一個作者完成、並將修改後的文檔重新上傳到伺服器的修改才會保留下來,另一個作者進行的更改將丟失。
IETF WebDAV 工作群組的目標是,設計一個協議,它提供基於標準的論壇中任何分布式創作工具需要的功能。 當前的 WebDAV 規範 (IETF RFC 2518) 解決協作式創作工具的三個主要問題:
· 改防寫保護。HTTP 1.1 無法確保用戶端可以保護資源,並且可以在其他用戶端同時編輯它們的情況下變更。 使用 WebDAV,可以通過多種方式來鎖定資源,以便讓其他用戶端知道您對所討論的資源感興趣,或者防止其他用戶端訪問該資源。
· 資源管理。HTTP 只能直接存取單個資源。 WebDAV 提供一種更有效地組織資料的方法。 WebDAV 引入了可包含資源 的集合(類似於檔案系統檔案夾)概念。 通過 WebDAV 進行的資源管理組件括如下功能:建立、移動、複製和刪除集合,以及集合中的資源或檔案。
· 文件屬性。不同類型的資料具有唯一的屬性,這有助於描述資料。 例如,在電子郵件中,這些屬性可能是寄件者的姓名和內送郵件的時間。 在協作文檔中,這些屬性可能是文檔原始作者的姓名和最後一個編輯者的姓名。 因為人們使用的文件類型各不相同,所以可能的屬性類型列表也變得無限大。 XML 是 WebDAV 所需的一種可擴充通訊工具。
WebDAV 請求的格式
HTTP 1.1(請參閱 IETF RFC 2068)提供一組可供用戶端與伺服器通訊的方法,並指定響應(從伺服器返回傳出請求的用戶端)的格式。 WebDAV 完全採用此規範中的所有方法,擴充其中的一些方法,並引入了其他可提供所描述功能的方法。 WebDAV 中使用的方法包括:
1.Options、Head 和 Trace。
主要由應用程式用來發現和Tracing Service器支援和網路行為。
2.Get。
檢索文檔。
3.Put 和 Post。
將文檔提交到伺服器。
4.Delete。
銷毀資源或集合。
5. Mkcol。
建立集合。
6.PropFind 和 PropPatch。
針對資源和集合檢索和設定屬性。
7.Copy 和 Move。
管理命名空間上下文中的集合和資源。
8. Lock 和 Unlock。
改防寫保護。
WebDAV 請求的一般結構遵循 HTTP 的格式,
並且由以下三個組件構成:
1. 方法。 聲明由用戶端執行的方法(上面描述的方法)。
2.標題。 描述有關如何完成此任務的指令。
3.主體(可選)。 定義用在該指令或其他指令中的資料,用以描述如何完成此方法。
在主體組件中,XML 成為整個 WebDAV 結構中的關鍵元素。