Почему PROPFIND и DAV появились бы в ответ заголовки, когда WebDAV отключен?
У Вас есть тот же ServerName в обоих разделах конфигурации.
Попробуйте рабочий "apache2ctl-t" (debian синтаксис, но другие дистрибутивы должны иметь подобную команду) протестировать Вашу конфигурацию. Apache также скажет Вам о таких очевидных ошибках в его файле журнала.
Btw.: Не забывайте устанавливать NameVirtualHost при использовании VirtualHost.
Привет я надеюсь, что это имеет некоторую справку к Вам:
http://unixwiz.net/techtips/ms971492-webdav-vuln.html
В то время как это для iis 5/6, он имеет некоторую хорошую информацию о безопасности.
Попробуйте некоторые противоположные шаги здесь:
http://learn.iis.net/page.aspx/350/installing-and-configuring-webdav-on-iis-7/
В то время как это не прямой ответ на Ваш вопрос, я надеюсь, что это - некоторая справка к Вам в нахождении того.
Я не могу внести свой вклад в исправление для IIS, но я могу ответить на ваш вопрос о том, нормальное ли это поведение.
Заголовок MS-Author-Via: DAV не должен содержать следствие. Стоит отметить, что Apache включает этот заголовок при простой загрузке модуля DAV, независимо от того, включен ли DAV для запрашиваемого URL. Таким образом, сканер безопасности не должен давать рекомендации, основанные исключительно на этом заголовке.
Однако принятие запроса PROPFIND для URL проблематично. Поведение Apache заключается в отказе от запросов PROPFIND для URL-адресов, для которых не включен DAV. Например:
telnet www.somewhere.com 80
PROPFIND /
сервер возвращает:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method PROPFIND is not allowed for the URL /.</p>
<hr>
<address>Apache/2.2.24 (Unix) DAV/2 Server at www.somewhere.com Port 80</address>
</body></html>