我正在尝试通过一项PCI合规性testing,并且我正在得到一个“高风险漏洞”。
问题描述如下:
Web服务器所在机器上的信息有时会包含在网页的标题中。 在某些情况下,这些信息可能包含防火墙或代理服务器(如本地IP地址)后面的本地信息。
看起来Nginx正在响应:
Service: https Received: HTTP/1.1 302 Found Cache-Control: no-cache Content-Type: text/html; charset=utf-8 Location: http://ip-10-194-73-254/ Server: nginx/1.0.4 + Phusion Passenger 3.0.7 (mod_rails/mod_rack) Status: 302 X-Powered-By: Phusion Passenger (mod_rails/mod_rack) 3.0.7 X-Runtime: 0 Content-Length: 90 Connection: Close <html><body>You are being <a href="http://ip-10-194-73-254/">redirect ed</a>.</body></html> 我不是专家,所以请纠正我,如果我错了,但从我所收集的,我认为问题是Location标题返回http://ip-10-194-73-254/ ,这是一个私人地址,当它应该返回我们的域名(这是ravn.com)。
所以,我猜我需要隐藏或replaceLocation标题不知何故? 我是一个程序员,而不是服务器pipe理员,所以我不知道该怎么办…任何帮助将不胜感激! 另外,我可以补充说,我们运行的服务器不止一台,所以configuration需要转移到任何具有私有地址的服务器上。
那么, 302 Found就是HTTPredirect状态,所以你被redirect了。 你不是通过nginxredirect,而是通过nginx (一个在Phusion Passenger上运行的Ruby应用程序,我可以看到)背后的一个软件来redirect,因为有一个头文件( X-Powered-By: Phusion Passenger (mod_rails/mod_rack) 3.0.7 )后端应用程序不是由nginx 。 所以,你应该检查你的Ruby应用程序的源代码来找出导致redirect的原因。 您被redirect到的地址无法从公共网站访问,所以这不是一个漏洞,而是一种错误的configuration。