| 关键词: 信息 内容 Content 文件 IIS 内部网 页面 地址 Location 浏览器 |
当访问IIS网站上的静态HTML文件时,比如index.htm,IIS响应中会包含一个Content-Location文件头。如果IIS配置不当,Content-Location文件头中将包含服务器的IP地址内容,这样就导致了隐藏在NAT防火墙或者代理服务器后面的内部网IP地址信息的泄漏,给攻击者有漏可乘。 下面我就介绍2种解决办法,实现将IP地址信息替换为域名信息的目的,帮助系统管理员消除内部网的IP地址泄漏隐患。 什么是IIS对页面文件的响应信息 当我们使用浏览器访问IIS网站Web服务器上的页面内容时,IIS将返回给用户一个完整的响应信息。简单情况下,我们可以认为这个响应信息包含2部分内容: 1、系统信息: 诸如访问状态、服务器信息、文件类型、正文长度等内容。 2、正文信息: 通常情况下就是我们在浏览器中看到的页面内容,也就是在浏览器中可以查看到的页面源代码内容。 当我们使用高级语言中的相关Internet控件访问一个页面内容时,比如使用VB的InternetControl控件来编写自己的浏览器或者下载程序,最终就会得到包含上述2部分内容的完整响应信息。 首先我们来看看一个例子,它显示了默认安装情况下IIS对HTML文件的响应信息: HTTP/1.1 200OK Server:Microsoft-IIS/5.0 Content-Location:http://192.168.1.1/index.htm Date:Wed, 31Oct200104:19:40GMT Content-Type:text/html Accept-Ranges:bytes Last-Modified:Fri, 12Oct200107:48:06GMT ETag:"03f7e3af252c11:9a2 " Content-Length:7141 上面响应信息的第3行内容包含了内部网的IP地址信息,这是我们不希望的。我们希望IIS响应如下的内容: HTTP/1.1 200OK Server:Microsoft-IIS/5.0 Content-Location:http://www.mywebsite.com/index.htm Date:Wed, 31Oct200104:19:40GMT Content-Type:text/html Accept-Ranges:bytes Last-Modified:Fri, 12Oct200107:48:06GMT ETag:"03f7e3af252c11:9a2 " Content-Length:7141 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|