nginxによって公開されたプライベートIPアドレス、心配する必要がありますか?
サーバーでniktoを実行しています。たとえば、www.example.comとすると、次のようになります。
OSVDB-630:Webサーバーは、HTTP/1.0を介した/へのリクエストを介して、ロケーションヘッダーの内部または実際のIPを公開する場合があります。値は「A.B.C.D」です。
私はnginxをip "A.B.C.D"のリバースプロキシとして、いくつかのWebサーバーの背後に持っています。プライベートアドレスを明らかにすることは本当に危険ですか?
その場合、httpクライアントがnginxプライベートIPアドレスを取得しないようにするにはどうすればよいですか?
情報漏えいですが。したがって、それ自体で額面どおりに、心配する必要はありません*。
それ自体が攻撃に変わる可能性があるものではありません。ただし、攻撃者が他の経路を利用するために使用できる情報です。
一方、通常、軽減することはまったく難しくありません。そのため、いくつかのリソースを入手して、この情報を省略しようとするのが最善です。
(*)一部の監査人はこの結論に同意しない場合があります。