John Asked: 2012-05-23 14:47:49 +0800 CST2012-05-23 14:47:49 +0800 CST 2012-05-23 14:47:49 +0800 CST WebDAV 安全和强化 772 在考虑使用WebDAV时应该注意哪些安全后果?如何保护它?我还应该了解什么? security hardening webdav 2 个回答 Voted Best Answer sysadmin1138 2012-05-23T18:30:25+08:002012-05-23T18:30:25+08:00 WebDav 本身没有任何安全性。它会让任何人接触任何东西。它在标准文档中说,这应该在网络服务器层(或应用程序,如果它提供 WebDAV 服务)处理。 身份验证WebDAV 没有原生的身份验证服务,所以需要在它前面放一个。不同的网络服务器以不同的方式处理这个问题,具体取决于您使用的 dav 模块。服务器特定模块 (mod_dav) 的行为将不同于那些基于应用程序服务器(如 Tomcat)的模块。这是正常的 HTTP 身份验证内容;基本、摘要、SASL、Kerberos 等。 HTTPS因为没有它就不会加密身份验证(除非您正在执行基于 IIS 的 webdav 和 NTLM),并且文件不会被加密传输。 本地身份验证 根据驱动 WebDAV 的内容,注意放置文件的实际操作系统用户。有时 Dav 服务器会冒充实际用户,其他时候都是一个用户删除文件,这取决于应用程序让用户远离他们不应该访问的文件。 mgorven 2012-05-23T18:09:54+08:002012-05-23T18:09:54+08:00 它与保护可以修改资源的 HTTP 基本相同:实施 HTTPS 并要求身份验证(密码或客户端证书)。
WebDav 本身没有任何安全性。它会让任何人接触任何东西。它在标准文档中说,这应该在网络服务器层(或应用程序,如果它提供 WebDAV 服务)处理。
身份验证
WebDAV 没有原生的身份验证服务,所以需要在它前面放一个。不同的网络服务器以不同的方式处理这个问题,具体取决于您使用的 dav 模块。服务器特定模块 (mod_dav) 的行为将不同于那些基于应用程序服务器(如 Tomcat)的模块。这是正常的 HTTP 身份验证内容;基本、摘要、SASL、Kerberos 等。
HTTPS
因为没有它就不会加密身份验证(除非您正在执行基于 IIS 的 webdav 和 NTLM),并且文件不会被加密传输。
本地身份验证
根据驱动 WebDAV 的内容,注意放置文件的实际操作系统用户。有时 Dav 服务器会冒充实际用户,其他时候都是一个用户删除文件,这取决于应用程序让用户远离他们不应该访问的文件。
它与保护可以修改资源的 HTTP 基本相同:实施 HTTPS 并要求身份验证(密码或客户端证书)。