IIS6 пропускает IP-адрес в заголовке
Мы работаем над тем, чтобы обеспечить соответствие PCI для нашего веб-сайта электронной коммерции с securitymetrics.com. И еще один последний вопрос:
Сводка: этот веб-сервер пропускает частный IP-адрес через заголовки HTTP. Описание. Это может привести к раскрытию внутренних IP-адресов, которые обычно скрыты или маскируются за брандмауэром или прокси-сервером преобразования сетевых адресов (NAT). Существует известная проблема с IIS 4.0, делающим это в конфигурации по умолчанию. Это также может повлиять на другие веб-серверы, особенно при неправильно настроенном перенаправлении. См. Также: http://support.microsoft.com/support/kb/ Articles/Q218/1/80.ASP
Я реализовал изменения в MetaBase, используя adsutil.vbs сценарий, который описан в статьях базы знаний и также проверил эти изменения с помощью обозревателя метабазы IIS6, однако мы продолжаем работать с этим элементом.
Мы осуществляем обратный хостинг этого сайта через межсетевой экран Fortinet.
Любые предложения о том, что я могу пропустить?
2 ответа
- Мы осуществляем обратный хостинг этого сайта через брандмауэр Fortinet.
Вы имеете в виду переадресацию портов?
Какую версию IIS вы используете?
Вы перезапустили процесс IISadmin после настройки изменений?
Дополнительный вопрос: Есть ли что-то, что мешает вам разместить это в DMZ?
Вы подключились напрямую к веб-серверу, чтобы не проходить через брандмауэр? Например, подключитесь к порту 80 по telnet и выполните правильный запрос HTTP/1.0 GET. Причина, по которой я спрашиваю это, состоит в том, что у нас была проблема, когда мы были помечены, хотя мы внесли изменения в IIS. Тем не менее, мы смогли показать, что это сделал балансировщик нагрузки, потому что когда мы подключились напрямую и сгенерировали запрос GET вручную, минуя балансировщик нагрузки, мы получили вместо этого имя сервера.