WebDAV Explorer

WebDAV (Web Distributed Authoring and Versioning) est une extension de HTTP qui permet la gestion de fichiers à distance sur les serveurs web. Bien que conçue pour la collaboration et la gestion de contenu légitimes, les implémentations WebDAV mal configurées sont un vecteur d'attaque bien connu en test d'intrusion. Un exploit WebDAV peut permettre aux attaquants de télécharger des fichiers malveillants, d'exécuter des web shells et de prendre le contrôle complet du serveur cible.

Qu'est-ce que WebDAV et comment fonctionne-t-il ?

WebDAV étend le protocole HTTP standard avec des méthodes supplémentaires comme PUT, PROPFIND, MKCOL, COPY, MOVE et DELETE qui permettent aux clients de créer, modifier et gérer des fichiers sur des serveurs web distants. Développé à l'origine pour l'édition collaborative de documents, WebDAV est utilisé par de nombreux systèmes de gestion de contenu, plateformes de stockage cloud et solutions de partage de fichiers d'entreprise. Le protocole est nativement supporté par Windows, macOS et Linux.

Les risques de sécurité émergent quand WebDAV est activé sans contrôles d'accès appropriés. Les mauvaises configurations courantes incluent l'autorisation d'accès anonyme aux répertoires WebDAV, l'absence de restriction sur les types de fichiers téléchargeables, et l'activation de WebDAV sur des répertoires où le serveur web exécute des scripts. Quand ces conditions sont réunies, les attaquants peuvent télécharger des fichiers exécutables comme des web shells PHP et y accéder via le navigateur pour obtenir l'exécution de code à distance.

Exploitation WebDAV en test d'intrusion

Les testeurs d'intrusion vérifient systématiquement WebDAV lors des évaluations de serveurs web. Le processus implique généralement de scanner les répertoires WebDAV à l'aide d'outils comme davtest ou de scripts nmap, de tester quelles méthodes HTTP sont autorisées avec une requête OPTIONS, de tenter des téléchargements de fichiers avec diverses extensions pour identifier les opportunités de contournement, et de vérifier si les fichiers téléchargés sont exécutés par le serveur. Même lorsque certaines extensions de fichiers sont bloquées, les attaquants peuvent contourner les restrictions en utilisant des extensions alternatives, la manipulation du content-type ou l'injection de caractère nul.

Sécuriser les déploiements WebDAV

Les organisations qui nécessitent la fonctionnalité WebDAV doivent implémenter des exigences d'authentification strictes, limiter les types et tailles de fichiers autorisés, désactiver l'exécution de scripts dans les répertoires WebDAV, utiliser des domaines ou hôtes virtuels séparés pour la gestion de fichiers, et auditer régulièrement les journaux d'accès. Quand WebDAV n'est pas nécessaire, il doit être complètement désactivé pour éliminer la surface d'attaque.