在 IIS 中使用空绑定是否安全?

在 IIS 中使用空绑定是否安全?

我想显示特定页面未绑定 HTTPS URL。我已经建立了一个具有空 HTTPS 绑定的基本网站,并且它似乎运行正常。

我认为它是对所有尚未绑定到其他网站的 HTTPS URL 的“捕获器”,对吗?它有没有可能“捕获”有效的 URL有约束力吗?

IIS 按照什么顺序匹配 URL 与绑定?

答案1

是的,您说得对,https 绑定的空主机名会捕获服务器上其他站点尚未处理的所有请求。如果您有多个 IP 地址,则 IP 地址仍然会发挥作用。

IIS 首先匹配更具体的绑定,因此没有主机名的绑定在顺序中会排得很低。

对该站点的任何请求都很可能会导致证书错误,并且请求的主机名和站点证书中的名称很可能会有所不同。

我在 IIS 服务器上运行了综合网站十多年,从未遇到过任何问题。

答案2

另一件值得一提的是,网站漏洞扫描工具可能会将这些应用程序标记为易受攻击主机头攻击因为它们会回复 200 而不是错误(如 404)。示例测试请求如下:

curl https://MySubWebsite.MyWebsite.com -H "Host: evil.com"

为了阻止此漏洞,你可以设置一个非常通用的通配符主机标头喜欢*.mywebsite.com捕获“有效”流量并让其余流量转向“404”。

相关内容