内网IP泄露

Question

我正在使用一个安全扫描工具来检查我的web应用程序的漏洞。

其中一个结果是在HTTP响应正文中发现了有关内网IP的低警告。建议的解决方案是删除它，但我不知道如何删除它。

我已经通过了代码，我似乎没有真正写IP地址的任何地方，所以我有点困惑。

如何将其从HTTP响应中删除？

我在Linux机器上使用apache服务器。

Answer 1

在某些配置中，Apache web服务器可能会将web服务器使用的内部IP地址泄露给远程用户。

据报道，如果Apache指令未设置(或设置为内部IP)且UseCanonicalName选项为On (这是默认配置)，则ServerName将向远程用户返回内部IP地址信息。

报告的解决方案是将CanonicalName设置为Off或将ServerName变量设置为外部主机名。

http://securitytracker.com/id/1002188