一家审计公司表示,我们不符合PCI标准,但就如何解决问题提供了无益的指示。他们显然希望我们会聘请他们的咨询部门。
在收到PCI合规性审核警报后,您使用了哪些资源/服务来填补空白?
是否有网站提供有关解决PCI合规性问题的有用资源?
例如,这是我们被标记的一个神秘失败消息:
“说明:类别参数中的跨站点脚本漏洞到URL X”
但是没有关于如何关闭此漏洞的明确指导。
感谢。
答案 0 :(得分:0)
他们是说哪个网址导致了漏洞,还是字面上是“X”?
检查以确保没有用户输入或从URL中抓取的输入显示在页面的任何位置(或在javascript中使用)而未经过适当的清理。
如果您发布网址,我确信此处的人会很乐意查找此漏洞。
[发布网址后编辑:]
以下是显示漏洞的格式错误的请求的链接:
防止此攻击的一种方法是验证所有用户输入。
客户端您可以删除任何可疑字符,例如<>'“ -
服务器端,您应该使用正则表达式将有效查询列入白名单,然后再将其输入数据库。