符合PCI要求的資源/服務？修復了「類別參數中的跨站腳本漏洞」漏洞？

Question

一家審計公司表示，我們不符合PCI標準，但對如何解決問題提供了無益的指導。他們顯然希望我們能聘請他們的諮詢部門。

在收到PCI合規性審覈警報後，您用什麼資源/服務來填補空白？

是否有網站提供解決PCI合規問題的有用資源？

舉例來說，這裏是我們被標記的神祕的失敗消息之一：

「描述：跨站腳本漏洞類別參數URL X」

但對沒有明確的指導如何關閉此漏洞。

謝謝。

Answer 1

他們說過哪個URL導致了這個漏洞，還是它真的是一個「X」？

檢查以確保沒有任何用戶輸入或從URL中抓取的輸入正在顯示在頁面上的任何位置（或正在使用您的javascript）未經正確清理。

如果您發佈的URL，我敢肯定這裏的人會很樂意找到該漏洞。

[您發佈的URL編輯後：]

這是一個畸形的請求鏈接顯示的漏洞：

http://www.cengraving.com/s/category?category=Outdoor+signs+'-'alert("Cross%20Site%20Scripting%20Vulnerability%20Here");

防止這種攻擊將驗證所有用戶的一種方式輸入。

客戶端，您可以刪除任何可疑人物像<>'‘ -

你應該使用正則表達式將其輸入數據庫之前，白名單有效查詢

服務器端