我目前正在他们正在执行PCI扫描的服务器上工作,其中一个失败是phpMyAdmin已过期。问题是服务器正在运行v4.0.10并且它要求v4.2.6。然而,问题是他正在运行MySQL 5.1并更新到最新的phpMyAdmin,你需要运行MySQL 5.5。
需要考虑的事项:
1)他不想锁定phpMyAdmin,这是我的第一个建议。
2)由于与他的软件存在兼容性问题,他无法升级MySQL。
话虽如此,我还有几个问题:
1)这个PCI扫描首先检测phpMyAdmin版本怎么样?我认为这是不可能的。
2)有没有办法屏蔽phpMyAdmin版本,或者可能更改它以便在扫描时显示其他内容?我知道这是处理事情的半途而已,但我仍然想知道。
如果有人有任何意见,我们将不胜感激!
答案 0 :(得分:3)
按顺序回答
很多人在默认位置安装phpMyAdmin。我曾经看过404错误,并注意到他们是机器人正在寻找这样一个目录并尝试其中的每个常见排列(/ phpmyadmin,/ phpMyAdmin,/ dbAdmin等)。我不喜欢在生产网站上安装它,因为它是一个安全漏洞(对于那些想要尝试锤击数据库直到找到有效的凭据的人来说,你真的很容易)。但除非你把它放在一个完全随机的地方,否则不难发现。
如果不破解源代码,就无法真正掩盖版本。 phpMyAdmin随时可以在旧版安装上报告其版本
答案 1 :(得分:0)
1)他不想锁定phpMyAdmin,这是我的第一个建议。
此。 phpMyAdmin不应该在PCI扫描的范围内,因为它首先无法公开访问 - 它至少应该在网络级别被锁定为IP的白名单,并且最好坐在VPN后面。
此外,如果数据库在Web服务器上运行,那么由于功能分离的要求而导致另一个PCI失败。
2)由于与他的软件存在兼容性问题,他无法升级MySQL。
如果其支持生命周期也是PCI失败,那么MySQL V4就会出局。
我会向他指出,合规是强制性的,而不是可选的,如果发现您的执行不严,然后遭受违规,可能会有严重的经济处罚。