Điểm:1

IIS rò rỉ IP nội bộ với yêu cầu HTTP/1.0 không có tiêu đề Máy chủ

lá cờ fi

Quá trình quét bảo mật máy chủ IIS 10 của chúng tôi cho thấy rằng nó tiết lộ địa chỉ IP nội bộ của máy chủ thông qua Địa điểm tiêu đề khi một yêu cầu được thực hiện cho một thư mục, chẳng hạn như https://example.org/Content. Điều này tạo ra như sau (xxx đại diện cho IP nội bộ):

HTTP/1.1 301 được di chuyển vĩnh viễn
Kiểm soát bộ đệm: không có bộ đệm, không lưu trữ, phải xác thực lại
Pragma: không có bộ đệm
Loại nội dung: văn bản/html; bộ ký tự = UTF-8
Hết hạn: -1
Vị trí: https://xxx.xxx.xxx.xxx/Content/
....

Một số câu hỏi:

  • Thực hành tốt nhất để sửa lỗi này là gì?
  • Làm cách nào để chúng tôi thực hiện yêu cầu GET HTTP/1.0 bên ngoài phần mềm quét để mô phỏng điều này và kiểm tra nó sau khi khắc phục?

Cảm ơn bạn.

Cập nhật: đã thử quy tắc Viết lại URL từ bài này nhưng nó báo lỗi 500.

Lex Li avatar
lá cờ vn
Sao chép vào https://serverfault.com/questions/391356/ignoring-http-1-0-requests-in-iis và https://serverfault.com/questions/1012273/iis-10-how-do-i- xóa-nội bộ-ip-địa chỉ-từ-phản hồi-tiêu đề
Alex avatar
lá cờ fi
@LexLi, quy tắc Viết lại URL trong liên kết đầu tiên làm ứng dụng gặp lỗi 500 nên đây không phải là quy tắc hợp lệ. Nó không giống như "AbortRequest"
Alex avatar
lá cờ fi
@LexLi, vui lòng xem cập nhật của tôi ở trên
Lex Li avatar
lá cờ vn
Bạn sẽ phải hiển thị toàn bộ trang lỗi. `AbortRequest` được xác định trong lược đồ nên nó không thể là nguyên nhân gây ra sự cố, https://github.com/lextm/iis_schema/blob/master/rewrite_schema.xml#L60
Alex avatar
lá cờ fi
Cảm ơn, @LexLi. Nó không hiển thị bất kỳ chi tiết nào cũng như không đưa bất kỳ thứ gì vào nhật ký sự kiện, điều này thật kỳ lạ. Dù sao, tìm thấy câu trả lời và thêm nó dưới đây.
Điểm:3
lá cờ fi

bài viết này cùng với cái này phác thảo bảo vệ chống lại kiểu tấn công này (Lỗ hổng Tiết lộ Thông tin Máy chủ Truy cập Máy khách) bằng cách hủy bỏ các yêu cầu thiếu tiêu đề Máy chủ.

Dưới đây là các bước để khắc phục điều này. Đảm bảo bạn có Mô-đun viết lại URL Cài đặt,

  1. Mở IIS.

  2. Chọn trang web của bạn.

  3. Nhấp đúp vào Viết lại URL.

  4. Nhấp vào Thêm (các) quy tắc trong bảng Hành động ở phía bên tay phải.

  5. Chọn Quy tắc gửi đến > Chặn yêu cầu.

  6. Nhập các cài đặt sau cho quy tắc:

    Chặn truy cập dựa trên: Tiêu đề máy chủ

    Chặn yêu cầu đó: Không khớp với mẫu

    Mẫu (Tiêu đề máy chủ): .+ (đọc: "chấm cộng", nghĩa là "khớp một hoặc nhiều ký tự bất kỳ")

    sử dụng: Biểu thức chính quy

    Làm thế nào để chặn: Hủy bỏ yêu cầu

  7. Nhấn OK để lưu quy tắc.

Cập nhật: Quá trình quét bảo mật được thực hiện trên Windows Server cho thấy lỗ hổng bảo mật không còn tồn tại sau thay đổi này.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.