我们在我们的一个网站上对我们的一个客户进行了PCI扫描。有许多漏洞的报告看起来像这样:
网络服务:80/443应用程序网址: http://www.oursite.com/signup.php 响应包含SQL Server 错误。这表明了 插入的危险字符 测试渗透了应用程序和 到达SQL查询本身(即 该应用程序易受攻击 SQL注入)。
摘要测试信息:标题:标题X-Forwarded-For =%2527
我不确定他们是怎么说他们在这里注入了代码?
他们为不同的URL提供的另一个例子,据说相同的问题就是漏洞利用:
摘要测试信息:标题: 标题X-Forwarded-For ='
修改
我已经看过这个标题,看起来它只是由Proxy或Load Balancers设置的(我们不管怎么说都没用)。无论哪种方式,我自己都欺骗了它,我们最终没有任何漏洞,所以我不确定它们是什么突出。既然我们不使用这个标题,我不确定所谓的攻击点是什么?
我们有一个所谓的漏洞的另一个例子是:
网络服务:80/443应用程序网址: http://www.oursite.com/products/product-na-here/370 测试成功嵌入了一个 响应中的脚本,它将是 加载页面后执行 用户的浏览器。这意味着 应用程序易受攻击 跨站脚本。
摘要测试 信息:
路径:路径 / products / product-na-here / 370 - > /产品/产品-NA-这里/ 370,参数: 标题>'“>提醒(957652)
同样,我不确定这里有什么标记?
感谢。
答案 0 :(得分:2)
扫描是自动进行的,可能会产生误报。它是为了提醒您漏洞的可能性,您需要解释您是如何不易受攻击或关闭漏洞的。 (假设你正在为PCI合规性审计做这个......如果没有,那么你只是试图在内部证明/关闭它们。)
扫描基于PCI DSS规定的OWASP前10大漏洞(http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)。看看那里;有很多很好的例子和对漏洞的深入解释。
答案 1 :(得分:1)
另一个选择是使用不提供自动结果的ASV。有一些好的ASV可以采用混合方法来获得安全性结果。他们手动审核以确认或拒绝每个自动发现的漏洞,并提供手动测试以查找只有人类可靠的东西,例如SQL注入,跨站点脚本和敏感信息泄漏等等,始终提供清楚所需的攻击媒介的例子。
完全披露:我为ASV工作,提供类似于我所描述的服务。
答案 2 :(得分:0)
正如其他用户所提到的,大多数PCI扫描结果似乎都标志着误报或改变做法。我看到有人曾经建议我们不使用bind,允许FTP访问是一个主要的安全漏洞。我建议你在你认为合适的地方挑战他们的发现。