因為工作關係,偶爾需要協助客戶解決關於 IIS 中、高風險資安問題。這邊簡單記錄一下如何解決這次弱點掃描發現的問題:HTTP Options Method Enabled ,並提供給有相同問題的朋友參考





什麼是 HTTP OPTIONS?

OPTIONS 與網站伺服器提供操作的方法之一,類似於 POST、GET 這些耳熟能詳的方法。OPTIONS 可以提供使用者關於網站相關資訊,相對的,也可能提供給攻擊者有用的資訊,所以一般情況下,會建議關閉




如何關閉 HTTP OPTIONS?

Step 1. 開啟 IIS 管理員 (IIS Manager),選擇要設定站台 (或應用程式、虛擬目錄),點選要求篩選 (Request Filtering)



Step 2. 點選 HTTP 指令動詞 (HTTP Verb) 標籤,點選 拒絕指令動詞 



Step 3. 輸入 OPTIONS ,點選確定



Step 4. 即解決這次的問題 (注意有沒有打錯字與設定錯站台即可)


Hope it helps.