IIS6がヘッダーのIPアドレスをリークしています
私たちは、securitymetrics.comを使用してeコマースWebサイトのPCIコンプライアンスの取得に取り組んでいます。最後に取り上げられる項目は次のとおりです。
概要:このWebサーバーは、HTTPヘッダーを介してプライベートIPアドレスをリークします。説明:これにより、通常はネットワークアドレス変換(NAT)ファイアウォールまたはプロキシサーバーの背後に隠されているかマスクされている内部IPアドレスが公開される可能性があります。 IIS 4.0がデフォルトの構成でこれを行うと、既知の問題が発生します。これは、他のWebサーバー、特に誤って構成されたリダイレクトにも影響する可能性があります。関連項目: http:// support .Microsoft.com/support/kb / articles/Q218/1/80.ASP
KB記事に記載されているadsutil.vbsスクリプトを使用してメタベースに変更を実装し、IIS6メタベースエクスプローラーを使用してこれらの変更を確認しましたが、この項目で引き続き失敗します。
フォーティネットファイアウォールを介してこのサイトをリバースホスティングしています。
私が見逃しているかもしれない何かについての提案はありますか?
- フォーティネットファイアウォールを介してこのサイトをリバースホスティングしています。
ポートフォワーディングのことですか?
どのバージョンのIISを実行していますか?
変更を構成した後、IISadminプロセスを再起動しましたか?
副次的な質問:DMZでこれをホストすることを妨げるものはありますか?
ファイアウォールを通過しないように、Webサーバーに直接接続しましたか?たとえば、ポート80にtelnetで接続し、適切なHTTP/1.0GET要求を発行します。これを尋ねる理由は、IISで変更を加えたにもかかわらず、フラグが立てられるという問題があったためです。ただし、直接電話をかけてGETリクエストを手動で発行し、ロードバランサーをバイパスすると、代わりにサーバー名を取得したため、ロードバランサーがそれを実行していることを示すことができました。