漏洞名称：WEB服务器启用了OPTIONS方法

危险等级：★☆☆☆☆（轻危）

漏洞类型：配置错误

披露时间：2015-09-14

漏洞描述：攻击者可利用options方法获取服务器的信息，进而准备进一步攻击。

解决方案：

修改配置文件禁用options方法：

windows2008、windows2012，请在wwwroot目录建立web.config，内容如下

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
    <security>
      <requestFiltering>
        <verbs allowUnlisted="true">
          <add verb="OPTIONS" allowed="false"/>
        </verbs>
      </requestFiltering>
    </security>
</system.webServer>
</configuration>

windows 2003，打开控制面板-ISAPI筛选器-启用自定义重写组件，然后编辑httpd.conf，如果您已有其他规则，请添加到最上面 

RewriteEngine on
RewriteCond %{THE_REQUEST} ^(OPTIONS)
RewriteRule .* - [F]

linux主机，在wwwroot目录下创建.htaccess文件，内容如下，如果您已有其他规则，请添加到最上面

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]