哪些（开源）工具可用于扫描 SQL 数据库/文件系统等系统以获取持卡人数据？到目前为止，我们已经找到了 PANBuster、7seec 和 PANscan，并且想知道是否还有更多（最好是开源的）。

由于以下问题，我在本季度难以满足 PCI-DSS 合规性要求。

当您在浏览器中键入以下内容时...

...它响应，因此，由于某种我无法确定的原因，浏览器地址栏中的 URL 更改为以下内容：

您可以看到原始 URL 中的一些转义字符已被非转义字符替换。

我给出的原因是当服务器响应时，无论它如何响应，FireFox 都会自动重新格式化地址栏中的 URL，以使其更具可读性。我告诉他们我对此无能为力。但是，公平地说，他们反驳说，如果您尝试以下 URL...

...当 Google 服务器响应时，浏览器不会更改 URL，它保持不变：

他们说得有道理。

那么到底发生了什么？我已经缩小了问题的范围，如果我只是请求一个空的文本文件，但在它之后附加一些无意义的查询......

...瞧，当我的本地服务器响应时，它会被重写：

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

我已经通过 Fiddler 运行了这个，看不到任何不愉快的地方，我已经关闭了重写引擎。我正在运行 Apache。

更令人困惑的是，不同的浏览器响应不同。打字...

...进入 Chrome 产生：

http://localhost/http.mygarble.com/hello.txt?displayname=%22%3E%3Cscript%3Ealert%28123%29%3C%2Fscript%3E%22

进入 IE，URL 保持不变。在 Opera 中，除非您单击地址栏，否则查询字符串会被删除，这让我相信浏览器会在响应时自动更改地址栏中的 URL，以使它们更具可读性。Safari 和 IE 一样，只保留 URL。

我现在要检查谷歌的回复以寻找线索。是否有一些 HTTP 指令指示浏览器不要干预 URL 响应。

非常感谢任何帮助！

亲切的问候，

詹姆士

PCI DSS 合规性是否禁止开发人员在其 PC 上拥有本地管理员权限？

我正在开发一个电子商务网站，我希望通过我的网站完成付款流程。这意味着用户将在我的网站的支付页面中输入信用卡详细信息。

简而言之，不应将用户重定向到支付网关进行支付处理。

我正在使用万事达卡 MIGS

任何帮助将不胜感激。谢谢你

背景

尽管我浏览了一些关于堆栈溢出的帖子，这些帖子部分涵盖了这一点，但我还没有找到提供全面问题/答案的帖子。

作为 POS 系统的开发人员，PCI DSS 有两个我感兴趣的组件：

• 关于我开发的软件的 PA DSS（支付应用程序）
• PCI DSS (Merchants)，考虑到我所有使用该软件的客户

PA DSS 似乎说得最直截了当：

“9.1 支付应用程序的开发必须使数据库服务器和 Web 服务器不需要位于同一台服务器上，数据库服务器也不需要与 Web 服务器位于 DMZ 中”

测试程序：

9.1.a 验证支付应用程序将持卡人数据存储在内部网络中，而不是存储在 DMZ 中，获取证据证明支付应用程序不需要将数据存储在 DMZ 中，并允许使用 DMZ 将互联网与存储持卡人数据的系统（例如，支付应用程序不得要求数据库服务器和 Web 服务器位于同一台服务器上，或与 Web 服务器位于 DMZ 中）。

9.1.b 如果客户可以将持卡人数据存储在连接到 Internet 的服务器上，请检查供应商准备的 PA-DSS 实施指南，以验证客户和经销商/集成商被告知不要将持卡人数据存储在可访问 Internet 的系统（例如，Web 服务器和数据库服务器不能在同一台服务器上）。

并且来自商家的 PCI DSS：

1.3.5 限制从持卡人数据环境到互联网的出站流量，使出站流量只能访问DMZ内的IP地址。

问题

我的问题很简单——数据库和应用程序服务器可以在逻辑上不同（在不同的虚拟化操作系统上）还是它们在物理上必须不同（在不同的物理/专用服务器上）？

另外，我有点担心必须放置一个与 Internet 没有任何连接的数据库服务器。我应该如何远程管理此服务器？还是可以通过应用程序服务器访问数据库服务器 - 尽管这肯定会违背目的？

来自 PCI DSS2 文档： https ://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

3.4.1.b 验证加密密钥是否安全存储（例如，存储在通过强访问控制得到充分保护的可移动媒体上）。

我们正在使用一个批处理履行公司，每 24 小时处理一次信用卡数据。这要求我们将客户信用卡数据存储长达一周，最坏的情况是如果出现中断等情况。

在此期间，我们希望尽可能安全地存储存储的抄送信息。我已经看到了使用存储在拇指驱动器上的密钥加密存储数据的设置，该拇指驱动器每晚连接以运行批处理，但这是一种非常脆弱和手动处理批处理的方法。当然有更好的方法来存储密钥，但要保护它免受黑客访问机器或利用机器上安装的软件。

没有这个手动过程存储密钥的最佳方法是什么？

我正在尝试将我们所有各种 Web 应用程序的所有付款条目“合并”在一个“托管”付款条目 Web 应用程序下。为了使我们的各种 Web 应用程序尽可能“灵活”并且不影响安全性，我想我会创建一个标准的 web2.0 小部件，它将 iFrame 来自同一二级域上的 Web 应用程序的支付输入/处理屏幕, 但不同的 3 级域。

IE：这些“独立”的网络应用程序：

• https://www.company.com/gifts/store
• https://www.company.com/cars/store
• https://www.company.com/hotels/store

将所有 iframe 在来自https://payments.company.com/payment-entry.php的“灯箱”隐喻内容中的“签出”点

[https://payments.company.com] 将位于完全不同的服务器上，并受 PCI 合规性约束，因为它是唯一暴露于 CC 数据的 Web 应用程序。目标是消除尽可能多的内部和外部应用程序看到 CC 数据。

如果我有通配符证书，是否有人看到此 iframe 相同的 3 级域解决方案存在任何安全或跨站点脚本问题？

对于我在大学的最后一个项目，我想编写自己的支付处理系统。它将有一个后端支付处理服务器和客户端（商家）前端。

我想让后端运行并等待来自客户端服务器（即商家）的连接/交易。然后，后端会施展魔法并向商家发送回复，说明付款是否被授权。

我知道支付处理器和银行之间的区别。我想开发支付处理器端而不是银行，这个系统也不会与任何真实的银行集成或使用真实的货币。

在实践中，支付处理器与发卡银行进行对话并在那里获得授权。我想我可以为此使用一个简单的帐号和余额数据库表。即客户是否有足够的钱。

我希望我在这个项目上的主要关注领域是编写强大的后端服务器并同时处理请求。我还想专注于客户端和服务器之间的加密和安全等。我想研究 PCI 合规性法规等。

现在是 11 月初，整个项目的最后期限是 2012 年 3 月中旬。

你们怎么看我的想法，你们认为我能在时间上实现一些有价值的事情吗？

我们正在为 ModSecurity (mod_security) 寻找一些额外的规则 - 有 2 个商业选项，GotRoot 或来自 TrustWave 的新选项

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

我听说过 TrustWave，但没有听说过 GotRoot。然而，GotRoot 规则似乎在 Google 等上有更多提及 - 似乎 TrustWave 的规则仅在大约一个月前出现

我们将使用它们来保护电子商务网站

我有一个必须符合 PCI 的电子商务网站。我遇到的问题是它在 XSS 攻击中失败：

.htaccess 中有没有办法去除任何恶意脚本标签并将用户重定向到另一个页面？还是我在叫错树？