Назад | Перейти на главную страницу

Ошибка проверки PCI-DSS на «IP-адрес в заголовках HTTP» в IIS 7.0?

Мой клиент проверяет свой веб-сайт, чтобы принимать платежи по карте на сайте, и одна из неудач заключается в том, что у нас происходит утечка внутреннего IP-адреса, но мы используем IIS 7.0, который, как я думал, этого не делает.

Я сам проверил заголовки и не вижу, в чем проблема:

HTTP/1.1 302 Found
Content-Type: text/html 
Location: https://www.pirform.co.uk/Purchase.aspx 
Server: Microsoft-IIS/7.0 
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT 
Content-Length: 156 

HTTP/1.1 200 OK 
Cache-Control: private 
Content-Type: text/html 
Server: Microsoft-IIS/7.0 
Set-Cookie: ASP.NET_SessionId=n4cf1m3qmmocof45bxwpwe55 
X-AspNet-Version: 2.0.50727 
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT 
Content-Length: 12015 

Есть идеи, о чем они могли бы говорить?

Хорошо, проблема заключалась в том, что в IIS не был указан заголовок хоста для протокола HTTPS (443), поэтому, как только я добавил это, все было в порядке.

Однако изменение настройки было немного сложным, поскольку для сертификатов одного домена IIS не позволяет вам указывать заголовок хоста, поэтому вам нужно войти в ЦС на сервере, дать сертификату понятное имя, которое начинается со звездочки, и IIS затем позволит вам указать заголовок хоста.

Есть масса мест, где может произойти утечка, возможно, даже в приложении. Какие результаты проверки? Без дополнительных знаний о вашей инфраструктуре или более подробной информации о том, как они доказали, что она дает сбой, будет сложно ответить на ваш вопрос.