2

一家审计公司表示我们不符合 PCI 标准,但提供了有关如何解决问题的无益说明。他们显然希望我们与他们的咨询部门合作。

在收到 PCI 合规审计警报后,您使用了哪些资源/服务来填补空白?

是否有网站提供有关解决 PCI 合规性问题的有用资源?

例如,这是我们被标记的神秘失败消息之一:

“描述:URL X 的类别参数中的跨站点脚本漏洞”

但是对于如何关闭这个漏洞没有明确的指导。

谢谢。

4

1 回答 1

0

他们是说哪个 URL 导致了漏洞,还是字面上的“X”?

检查以确保没有用户输入或从 URL 中获取的输入在页面上的任何位置显示(或在您的 javascript 中使用)而没有经过适当的清理。

如果您发布 URL,我相信这里的人们会很乐意寻找漏洞。

[在您发布 URL 后编辑:]

以下是显示漏洞的格式错误请求的链接:

http://www.cengraving.com/s/category?category=Outdoor+signs+'-'alert("Cross%20Site%20Scripting%20Vulnerability%20Here");

防止这种攻击的一种方法是验证所有用户输入。

客户端您可以删除任何可疑字符,例如 <>'"-

在服务器端,您应该在将有效查询输入数据库之前使用正则表达式将其列入白名单。

于 2011-05-26T19:54:13.027 回答