การสแกนความปลอดภัยของเซิร์ฟเวอร์ IIS 10 เปิดเผยว่ากำลังเปิดเผยที่อยู่ IP ภายในของเซิร์ฟเวอร์ผ่านทาง ที่ตั้ง ส่วนหัวเมื่อมีการร้องขอไปยังโฟลเดอร์ เช่น https://example.org/Content. สิ่งนี้สร้างสิ่งต่อไปนี้ (xxx แสดงถึง IP ภายใน):
HTTP/1.1 301 ย้ายอย่างถาวร
การควบคุมแคช: ไม่มีแคช ไม่มีการจัดเก็บ ต้องตรวจสอบความถูกต้องอีกครั้ง
Pragma: ไม่มีแคช
ประเภทเนื้อหา: text/html; ชุดอักขระ = UTF-8
หมดอายุ: -1
ที่ตั้ง: https://xxx.xxx.xxx.xxx/Content/
....
คำถามเล็กน้อย:
ขอขอบคุณ.
อัปเดต: ลองใช้กฎการเขียนซ้ำ URL จาก โพสต์นี้ แต่มันพ่นข้อผิดพลาด 500
บทความนี้ พร้อมด้วย อันนี้ เค้าร่างการป้องกันการโจมตีประเภทนี้ (ช่องโหว่การเปิดเผยข้อมูลเซิร์ฟเวอร์การเข้าถึงไคลเอนต์) โดยการยกเลิกคำขอที่ไม่มีส่วนหัวของโฮสต์
นี่คือขั้นตอนในการแก้ไขปัญหานี้ รับรองว่าคุณมี โมดูลเขียนซ้ำ URL ติดตั้ง,
เปิด IIS
เลือกเว็บไซต์ของคุณ
คลิกสองครั้งที่การเขียน URL ใหม่
คลิกที่ เพิ่มกฎ ในแผงการดำเนินการทางด้านขวามือ
เลือก กฎขาเข้า > การบล็อกคำขอ
ป้อนการตั้งค่าต่อไปนี้สำหรับกฎ:
บล็อกการเข้าถึงตาม: ส่วนหัวของโฮสต์
บล็อกคำขอนั้น: ไม่ตรงตามแบบ
รูปแบบ (ส่วนหัวของโฮสต์): .+ (อ่าน: "จุดบวก" หมายถึง "จับคู่อักขระใด ๆ หนึ่งตัวหรือมากกว่า")
โดยใช้: นิพจน์ทั่วไป
วิธีการบล็อก: ยกเลิกคำขอ
คลิก ตกลง เพื่อบันทึกกฎ
อัปเดต: การสแกนความปลอดภัยที่ดำเนินการบน Windows Server เผยให้เห็นช่องโหว่ที่ไม่มีอยู่อีกต่อไปหลังจากการเปลี่ยนแปลงนี้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
