2

我们在我们的一个网站上进行了 PCI 扫描,由我们的一位客户传递给我们。有许多看起来像这样的漏洞报告:

网络服务:80/443 应用程序 URL: http ://www.oursite.com/signup.php 响应包含 SQL Server 错误。这表明测试插入的危险字符穿透了应用程序并到达了 SQL 查询本身(即应用程序易受 SQL 注入攻击)。

总结测试信息: header: header X-Forwarded-For=%2527

我不确定他们怎么说他们在这里注入了代码?

他们提供的另一个例子是一个不同的 URL,据说这个问题与漏洞利用相同:

总结测试信息: header: header X-Forwarded-For='

编辑
我查看了此标头,它似乎仅由代理或负载均衡器设置(我们无论如何都不使用)。无论哪种方式,我自己都对其进行了欺骗,并且我们最终没有任何漏洞,所以我不确定他们在强调什么。由于我们不使用此标头,因此我不确定假定的攻击点是什么?

我们有一个所谓的漏洞的另一个例子是:

网络服务:80/443 应用网址: http ://www.oursite.com/products/product-na-here/370 测试成功在响应中嵌入了一个脚本,页面加载后执行用户的浏览器。这意味着该应用程序容易受到跨站点脚本的攻击。

总结测试信息

路径:路径/products/product-na-here/370 -> /products/product-na-here/370,参数:header >'">alert(957652)

同样,我不确定这里标记了什么?

谢谢。

4

3 回答 3

2

扫描是自动化的,可能会产生误报。这是为了提醒您注意漏洞的可能性,您需要解释您如何不脆弱或关闭漏洞。(假设您这样做是为了进行 PCI 合规性审计……如果不是,那么您只需尝试在内部证明/关闭它们。)

扫描基于PCI DSS 规定的 OWASP 前 10 个漏洞 ( http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project )。看看那里;有很多很好的例子和对漏洞的深入解释。

于 2009-11-23T17:25:28.283 回答
1

另一种选择是使用不提供完全自动化结果的 ASV。周围有一些很好的 ASV,它们采用混合方法来获得安全结果。他们手动审查以确认或否认每个自动发现的漏洞,并提供手动测试以发现只有人类才能可靠地发现的东西,例如 SQL 注入、跨站点脚本和敏感信息泄漏等等,始终提供所需攻击向量的清晰示例。

全面披露:我为提供与我描述的服务类似的服务的 ASV 工作。

于 2010-01-08T11:14:30.137 回答
0

正如其他用户所提到的,大多数 PCI 扫描结果似乎都标记了误报或改变做法。我曾经看到一个建议我们不要使用绑定,并且允许 FTP 访问是一个主要的安全漏洞。我建议你在你认为合适的地方挑战他们的发现。

于 2009-11-25T11:53:02.720 回答