Falha na verificação de PCI-DSS em 'Endereço IP em cabeçalhos de HTTP' no IIS 7.0?

1

Meu cliente está tendo seu website validado para aceitar pagamentos com cartão no site, e uma das falhas é que estamos vazando o endereço IP interno, mas estamos usando o IIS 7.0, o que achei que não fizesse isso.

Eu mesmo verifiquei os cabeçalhos e não consigo ver onde está o problema:

HTTP/1.1 302 Found
Content-Type: text/html 
Location: https://www.pirform.co.uk/Purchase.aspx 
Server: Microsoft-IIS/7.0 
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT 
Content-Length: 156 

HTTP/1.1 200 OK 
Cache-Control: private 
Content-Type: text/html 
Server: Microsoft-IIS/7.0 
Set-Cookie: ASP.NET_SessionId=n4cf1m3qmmocof45bxwpwe55 
X-AspNet-Version: 2.0.50727 
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT 
Content-Length: 12015 

Alguma idéia sobre o que eles poderiam estar falando?

    
por Mantorok 03.08.2010 / 10:23

2 respostas

2

Ok, o problema é que no IIS não havia cabeçalho de host especificado para o protocolo HTTPS (443), então uma vez que eu adicionei isso, tudo bem.

Alterar a configuração foi um pouco complicado, como para certs de domínio único o IIS não permite que você especifique um cabeçalho de host, então você precisa ir para a CA no servidor, dar ao certificado um nome amigável que comece com um asterisco e o IIS permitirá que você especifique o cabeçalho do host.

    
por 03.08.2010 / 17:11
0

Há uma tonelada de lugares que podem vazar, possivelmente até no aplicativo. Quais são os resultados da verificação? Sem mais conhecimento sobre sua infraestrutura ou mais detalhes sobre como eles provaram que estava falhando, será difícil responder à sua pergunta.

    
por 03.08.2010 / 15:31