Регистрация Войти
Рейтинг:1
Alex avatar Server

IIS пропускает внутренний IP-адрес с запросом HTTP/1.0 без заголовка узла

флаг fi
Alex

Сканирование безопасности нашего сервера IIS 10 показало, что он раскрывает внутренний IP-адрес сервера через Место расположения заголовок, когда делается запрос к папке, например https://example.org/Контент. Получается следующее (ххх представляет внутренний IP):

HTTP/1.1 301 перемещен навсегда
Cache-Control: без кэша, без хранения, с обязательной повторной проверкой
Прагма: без кеша
Тип содержимого: текст/html; кодировка = UTF-8
Истекает: -1
Расположение: https://xxx.xxx.xxx.xxx/Content/
....

Несколько вопросов:

  • Какова наилучшая практика по исправлению этого?
  • Как мы можем сделать запрос GET HTTP/1.0 за пределами программного обеспечения для сканирования, чтобы смоделировать это и протестировать его после исправления?

Спасибо.

Обновлять: попробовал правило перезаписи URL из эта почта но выдает ошибку 500.

741
0 + 0
iis
Lex Li avatar
флаг vn
Lex Li
Дублировать на https://serverfault.com/questions/391356/ignoring-http-1-0-requests-in-iis и https://serverfault.com/questions/1012273/iis-10-how-do-i- удалить внутренний IP-адрес из заголовков ответа
0
Ответить
Alex avatar
флаг fi
Alex
@LexLi, правило перезаписи URL-адреса в первой ссылке приводит к ошибке 500 в приложении, поэтому это недействительное правило. Не нравится "AbortRequest"
0
Ответить
Alex avatar
флаг fi
Alex
@LexLi, пожалуйста, смотрите мое обновление выше
0
Ответить
Lex Li avatar
флаг vn
Lex Li
Вам нужно будет показать полную страницу ошибки. AbortRequest определен в схеме, поэтому он не может быть причиной проблемы, https://github.com/lextm/iis_schema/blob/master/rewrite_schema.xml#L60.
0
Ответить
Alex avatar
флаг fi
Alex
Спасибо, @LexLi. Он не показывал никаких подробностей и ничего не добавлял в журналы событий, что было странно. Во всяком случае, нашел ответ и добавил его ниже.
0
Ответить
Рейтинг:3
Alex avatar Server
флаг fi
Alex

эта статья вместе с Вот этот наброски защиты от такого рода атак (уязвимость раскрытия информации о сервере клиентского доступа) путем прерывания запросов, в которых отсутствует заголовок узла.

Вот шаги, чтобы исправить это. Убедитесь, что у вас есть Модуль перезаписи URL установлен,

  1. Откройте ИИС.

  2. Выберите свой веб-сайт.

  3. Дважды щелкните Перезаписать URL.

  4. Нажмите «Добавить правило(я)» на панели «Действия» справа.

  5. Выберите Правила для входящих подключений > Запросить блокировку.

  6. Введите следующие параметры правила:

    Блокировать доступ на основании: Заголовок хоста

    Заблокировать запрос, который: Не соответствует образцу

    Шаблон (заголовок хоста): .+ (читай: «точка плюс», что означает «соответствие одному или нескольким любым символам»)

    С использованием: Обычные выражения

    Как заблокировать: Прервать запрос

  7. Нажмите OK, чтобы сохранить правило.

Обновлять: Сканирование безопасности, выполненное на Windows Server, показало, что уязвимость больше не существует после этого изменения.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.