问题标签 [pci-compliance]

我们最近让第 3 方审计员对我们的 MS 2008 网络服务器进行了渗透测试，发现了远程操作系统检测漏洞。它检测到操作系统以及 IIS 的版本。

审计员建议：“如果可能，配置网络服务器，使其不在横幅中显示可识别信息”

我做了很多研究，但找不到任何简单的方法可以让我快速阻止这些信息被检测到。

有谁知道有什么方法可以做到这一点？这是需要在代码中的服务器级别或 Web 应用程序级别配置/拒绝的东西吗？

我被告知expose_php = On在我的 php.ini 中存在安全问题，因此不符合 PCI 标准。

到目前为止，我对它的研究表明，将其关闭是低风险的，并且基本上会停止在标头中发回 PHP 版本，但是我想知道此更改背后是否可能出现任何问题。

我正在考虑的潜在问题是第三方服务（支付提供商、电子邮件跟踪系统、视频流 API），它们希望您响应一个标头，表明您正在运行一个 PHP 版本，可能超过某个版本？

这应该是一个无缝的变化，还是有可能出现问题？

我正在尝试使我的服务器符合 PCI 标准。我需要解决的最后一个问题是从 Apache ETag 标头中删除 INode。所以我在 httpd.conf 中定义了这一行：“FileETag MTime Size”只返回MTime和Size。

此修复解决了标准端口 80 的问题。

现在，我还在端口 8000 上运行了主机控制面板 (ISPConfig3)。运行 PCI 合规性测试后，我得到了这个错误：

Apache ETag 标头公开 inode 编号 严重性：潜在问题 CVE：CVE-2003-1418 影响：远程攻击者可以确定服务器上的 inode 编号。解决方法 使用 http://httpd.apache.org/docs/2.2/mod/core.html#FileETag FileETag 指令从 ETag 的计算中删除 INode 组件。例如，在 Apache 配置文件中放入以下行，仅根据文件的修改时间和大小计算 ETag： FileETag MTime Size Vulnerability Details: Service: 8000:TCP

我假设我必须在 httpd.conf 中添加一些内容才能将FileETag应用于在端口 8000 上运行的所有应用程序。

请指教应该怎么做。

谢谢！开尔文

PCI DSS 标准是否适用于仅使用电话检查的提供商？

即收集

1) 帐号 2) 路由号码 3) 支票号码

换句话说 - 没有信用卡

谢谢

我们一直未能通过 PCI 扫描，因为 ColdFusion 具有可预测的 CFID。我们得到的确切 FAIL 是“Predictable Cookie Session IDs”。现在 CFTOKEN 不再可预测，因为我已将 CF 配置为使用 UUID 进行 CFTOKEN，但是，CFID 仍然是可预测的，并且不受 CF Admin 中的任何更改的影响。

我真的不知道为什么可预测的 CFID 是一种威胁，但他们希望我们修复它。

我一直无法通过谷歌搜索找到任何关于此事的信息，我真的不知道还能做什么。

有没有其他人处理过这样的事情？有什么建议么？

编辑：这是我的 Application.cfc 文件的样子：

我的 CF 管理员看起来像这样：http: //i.imgur.com/k9OZH.png

那么如何禁用 CFID？

我正在与一个新客户合作一个项目，由于业务类型，他们在获取商家帐户来处理他们的在线支付时遇到了一些问题。该系统的工作方式与 Just Eat/Expedia 等类似，客户在网站上下订单，然后将订单传递到场地，网站收取佣金。

客户询问我们是否可以将客户付款详细信息存储在我们的数据库中（加密），然后将它们传递到场所，以便使用他们内部的卡系统自行处理。我知道这存在 PCI 合规性问题，但我无法直接回答我们需要做什么。我已经和几家托管公司谈过了，其中一家说我们需要一个具有独立 Web 和数据库服务器的集群，而另一家则说我们不会。我以前从未做过这样的事情，我通常只是将付款处理外包给 SagePay 等人。

这是建议的付款流程：

• 客户在网站下订单
• 付款详情存储在数据库中
• 客户通过电子邮件收到订单确认。地点通过电子邮件发送订单通知。如果场地接受订单，订单和付款细节将被传输到内部离线处理
• 场地在内部完成付款后，确认订单并从网站数据库中删除付款详细信息
• 客户通过电子邮件收到最终订单确认

我想确保任何流程都是正确的，我最不想做的就是让网站受到攻击，支付详细信息，并对任何损失负责！

任何建议将不胜感激。

我收到此错误

我知道把

在网络配置中将允许我这样做，但这不符合 PCI 标准，它只是对我的问题打了一个补丁。有没有办法解决它？

OS X 10.7.4 上现有的 openssh 版本是 SSH-2.0-OpenSSH_5.6，不幸的是，它不符合 PCI 标准。所以，我需要升级它，我一直在尝试用 Homebrew 来升级它。

到目前为止，我所做的是：

没问题，一切顺利，现在当我尝试时，which ssh我得到：

看起来不错，还which sshd给出了：

并ssh -v正式报告：

到现在为止还挺好。但这就是我不擅长的地方。22端口仍然使用OS安装版本，也就是说telnet hostname 22报：

我试过弄乱 /System/Library/LaunchDaemons/ssh.plist 没有运气。

所以，我的问题是（可能按重要性相反的顺序）：

1. 如何让我的 Homebrew 安装的 openssh 成为监听端口 22 的那个？
2. 如果我这样做，这会导致与 OS X 或其他软件发生冲突吗？
3. 首先，我的处理方式是合理的吗？
4. 我不是在想我应该做的事情吗？
5. 这是一个糟糕的想法吗？

我对没有通过 PCI 合规性扫描感到沮丧，需要弄清楚这一点，坦率地说，我正在考虑将我服务器上的所有电子商务网站都更改为 stripe.com，但我想弄清楚这一点. 另外，有谁知道openssh是否会在Mountain Lion中升级？

编辑：这是我在 /System/Library/LaunchDaemons/ssh.plist 中尝试的内容：

我只编辑了一行，更改：

到

然后我sudo kill -HUP 1按照下面@the-paul 的建议进行了尝试，并重新启动了 Mac。

从远程远程登录仍然显示SSH-2.0-OpenSSH_5.6

我的整个 ssh.plist 文件现在看起来像这样：http ://pastie.org/private/qnhofuxomawjdypp9wgaq

我们有一个管理网站，它本质上是一个用户界面，供我们的客户查看他们的客户交易和报告。这是使用 Telerik MVC 控件在 ASP.net MVC3 上开发的。我们产品的主要症结是网络服务。我们正在考虑让我们符合 PCI 标准。网站上的身份验证根本不安全，没有自定义成员身份或表单身份验证。我们将散列密码存储在数据库中。我想看看是否有任何开箱即用的第三方“PCI 兼容”库可用于进行用户身份验证？如果不是，在会员中实现 PCI 合规性的最佳方式是什么？

此外，我们目前使用开源 log4net 来记录网站和 Web 服务。是否有其他一些符合 PCI 的“日志记录”解决方案？如果日志记录可以在产品级别和网络级别使用，那将是最好的。

感谢所有的帮助。

谢谢，SDD

PCI 合规团队通知我们，我们失败了，因为“详细报告”已开启。我以前从未听说过。我们有一个 IIS6 服务器。我们没有运行水晶报告或任何类似的东西。我在 II6 中找不到任何称为详细报告的项目。有谁知道详细报告是什么，更重要的是如何关闭它们？