înregistrare Logare
Puncte:1
Alex avatar Server

IIS scurge IP-ul intern cu o solicitare HTTP/1.0 fără antet gazdă

drapel fi
Alex

O scanare de securitate a serverului nostru IIS 10 a arătat că dezvăluie adresa IP internă a serverului prin intermediul Locație antet atunci când se face o solicitare către un folder, cum ar fi https://example.org/Content. Aceasta generează următoarele (xxx reprezintă IP-ul intern):

HTTP/1.1 301 mutat permanent
Cache-Control: fără cache, fără stocare, revalidare obligatorie
Pragma: fără cache
Tip de conținut: text/html; set de caractere=UTF-8
Expiră: -1
Locație: https://xxx.xxx.xxx.xxx/Content/
....

Cateva intrebari:

  • Care este cea mai bună practică pentru a remedia acest lucru?
  • Cum facem o solicitare GET HTTP/1.0 în afara software-ului de scanare pentru a simula acest lucru și a o testa după remediere?

Mulțumesc.

Actualizați: a încercat regula de rescriere URL de la acest post dar aruncă o eroare 500.

741
0 + 0
iis
Lex Li avatar
drapel vn
Lex Li
Duplicați la https://serverfault.com/questions/391356/ignoring-http-1-0-requests-in-iis și https://serverfault.com/questions/1012273/iis-10-how-do-i- eliminați-adresa-ip-internă-din-anteturile-răspuns
0
Răspunde
Alex avatar
drapel fi
Alex
@LexLi, regula de rescriere a adresei URL din primul link aruncă în aer aplicația cu o eroare 500, deci nu este o regulă validă. Nu-i place „AbortRequest”
0
Răspunde
Alex avatar
drapel fi
Alex
@LexLi, vă rugăm să vedeți actualizarea mea de mai sus
0
Răspunde
Lex Li avatar
drapel vn
Lex Li
Va trebui să afișați pagina completă de eroare. `AbortRequest` este definit în schemă, astfel încât nu poate fi cauza problemei, https://github.com/lextm/iis_schema/blob/master/rewrite_schema.xml#L60
0
Răspunde
Alex avatar
drapel fi
Alex
Mulțumesc, @LexLi. Nu arăta niciun detaliu și nici nu arunca nimic în jurnalele de evenimente, ceea ce era ciudat. Oricum, ai găsit răspunsul și l-a adăugat mai jos.
0
Răspunde
Puncte:3
Alex avatar Server
drapel fi
Alex

Acest articol impreuna cu Aceasta descrieți protecția împotriva acestui tip de atac (vulnerabilitatea de divulgare a informațiilor serverului de acces la client) prin anularea solicitărilor cărora le lipsește antetul gazdă.

Iată pașii pentru a remedia acest lucru. Asigurați-vă că aveți Modulul de rescriere URL instalat,

  1. Deschideți IIS.

  2. Selectați site-ul dvs. web.

  3. Faceți dublu clic pe URL Rewrite.

  4. Faceți clic pe Adăugați reguli în panoul Acțiuni din partea dreaptă.

  5. Alegeți Reguli de intrare > Blocare solicitări.

  6. Introduceți următoarele setări pentru regulă:

    Blocarea accesului pe baza: Antet gazdă

    Blocați cererea că: Nu se potrivește cu modelul

    Model (antet gazdă): .+ (a se citi: „punct plus”, adică „se potrivește cu unul sau mai multe caractere”)

    Folosind: Expresii obisnuite

    Cum să blochezi: Anulare cerere

  7. Faceți clic pe OK pentru a salva regula.

Actualizați: Scanarea de securitate efectuată pe un server Windows a dezvăluit că vulnerabilitatea nu a mai existat după această modificare.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.