我们正在通过securitymetrics.com为我们的电子商务网站获得PCI合规性。最后一个不断出现的项目如下:
简介:这个Web服务器通过HTTP标头泄漏一个私有IP地址。 说明:这可能会暴露内部IP地址通常隐藏或隐藏在networking地址转换(NAT)防火墙或代理服务器之后。 IIS 4.0在默认configuration中执行此操作时存在已知问题。 这也可能会影响其他Web服务器,特别是在configuration错误的redirect上。 另请参阅: http : //support.microsoft.com/support/kb/ articles / Q218 / 1 / 80.ASP
我已经通过使用KB文章中logging的adsutil.vbs脚本实现了MetaBase中的更改,并使用IIS6元数据库浏览器validation了这些更改,但是我们仍然在此项上失败。
我们通过Fortinet防火墙反向托pipe这个网站。
任何build议,我可能会失踪的东西?
你的意思是端口转发?
你正在运行什么版本的IIS?
configuration更改后,是否重新启动了IISadmin进程?
侧面的问题:有没有什么东西阻止你在DMZ中托pipe这个东西?
你是否直接连接到Web服务器,以便不通过防火墙? 例如,telnet到端口80并发出正确的HTTP / 1.0 GET请求。 我问这个问题的原因是我们遇到了一个问题,即使我们在IIS中进行了更改,也会被标记出来。 但是,我们能够certificate这是负载均衡器,因为当我们直接telnet并手动发出GET请求时,绕过负载均衡器,我们得到了servername。