很抱歉这不是发布此内容的正确论坛,但我的想法已经不多了。我们最近购买了一台新的专用服务器(运行Windows Web Server 2008 R2)。我们的客户之一,试图获得PCI合规性。服务器是最新的,我们关闭了所有不需要的端口和漏洞。但该网站仍未通过其中一项测试。我将粘贴失败消息:
标题:易受攻击的网络程序(新加坡)影响:远程攻击者可以执行任意命令,创建或覆盖文件,或查看Web服务器上的文件或目录。
发送的数据:
GET /thumb.php?image=../data/users.csv.php%00.jpg
HTTP/1.0 Host: www.monorep.co.uk
User-Agent: Mozilla/4.0
Connection: Keep-alive
收到的数据:
And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" -->
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196
新加坡图片库应用程序受多个漏洞影响。新加坡0.10及更早版本受这些漏洞的影响:index.php中的目录遍历允许对应用程序目录中的敏感文件进行未经授权的读取访问,例如包含加密密码的users.csv.php文件index.php中的跨站点脚本功能要获得安装路径,新加坡0.9.10及更早版本会受到这些漏洞的影响。目录遍历thumb.php,允许对应用程序目录中的敏感文件进行未经授权的读取访问,例如包含加密密码的users.csv.php文件addImage函数中的文件上载漏洞允许登录用户上载和执行PHP脚本目录遍历如果Web服务器具有对目录的写访问权限,则允许在Windows平台上删除任意目录跨站点脚本解析:在可用时升级到新加坡0.10.1或更高版本。
风险因素:高/ CVSS2基础评分:7.5(AV:N / AC:L / Au:N / C:P / I:P / A:P) CVE:CVE-2004-1408 BID:11990 18518其他CVE:CVE-2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195
我不知道这是关于什么的。我们不使用这个“新加坡”应用程序,我们不在服务器上运行php。
请有人就此提出任何建议。我会很感激任何建议。
感谢。
答案 0 :(得分:1)
PCI安全扫描程序是具有大型数据库的简单软件。它们旨在为保护系统提供灵感,但是人们可以跟踪发现的任何物品。讨论您无法与评估员解决的任何问题,并评估扫描结果是否可能代表您环境中的真正安全风险。
尽管如此,评估程序中最省力的方法往往是基于最小的表面积和清洁的安全扫描。
对于以前从未见过的软件也很有用,扫描程序会检查可疑行为而不是已知的不良软件版本。另一方面,为了给您实际指导,他们试图指出可疑行为可能与之相关联的组件,以鼓励完全可用的安全修补(删除,升级),而不是逐个处理检测到的错误行为。
当然,无论那是什么,你都没有经营过新加坡。这里的问题是你的IIS配置似乎允许两个有问题的事情:
..访问已配置文件夹之外的文件%00),最终会引用更敏感的内容。 / LI>
在此处详细了解the former issue。阅读here如何打开和关闭父路径。 (默认情况下,IIS 7中的父路径已关闭,如果您没有更改,则此新加坡项目是完全虚假的警报。)