| 防止内部IP地址泄漏的2种方法 |
| 作者:内详 来源:网络搜集 点击数:
更新时间:2008-3-31 18:11:55 |
|
|
当访问IIS网站上的静态HTML文件时,比如index.htm,IIS响应中会包含一个Content-Location文件头。如果IIS配置不当,Content-Location文件头中将包含服务器的IP地址内容,这样就导致了隐藏在NAT防火墙或者代理服务器后面的内部网IP地址信息的泄漏,给攻击者有漏可乘。
下面我就介绍2种解决办法,实现将IP地址信息替换为域名信息的目的,帮助系统管理员消除内部网的IP地址泄漏隐患。
什么是IIS对页面文件的响应信息
当我们使用浏览器访问IIS网站Web服务器上的页面内容时,IIS将返回给用户一个完整的响应信息。简单情况下,我们可以认为这个响应信息包含2部分内容:
1、系统信息:
诸如访问状态、服务器信息、文件类型、正文长度等内容。
2、正文信息:
通常情况下就是我们在浏览器中看到的页面内容,也就是在浏览器中可以查看到的页面源代码内容。
当我们使用高级语言中的相关Internet控件访问一个页面内容时,比如使用VB的InternetControl控件来编写自己的浏览器或者下载程序,最终就会得到包含上述2部分内容的完整响应信息。
首先我们来看看一个例子,它显示了默认安装情况下IIS对HTML文件的响应信息:
HTTP/1.1 200OK
Server:Microsoft-IIS/5.0
Content-Location:http://192.168.1.1/index.htm
Date:Wed, 31Oct200104:19:40GMT
Content-Type:text/html
Accept-Ranges:bytes
Last-Modified:Fri, 12Oct200107:48:06GMT
ETag:"03f7e3af252c11:9a2 "
Content-Length:7141
上面响应信息的第3行内容包含了内部网的IP地址信息,这是我们不希望的。我们希望IIS响应如下的内容:
HTTP/1.1 200OK
Server:Microsoft-IIS/5.0
Content-Location[1] [2] [3] [4] 下一页
|
|
| 教程录入:yxdoor 责任编辑:yxdoor |
上一篇教程: 防范十种可破解万象幻境的方法
下一篇教程: 安全小常识--消除IE记录中的个人信息 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
