1. 首頁
  2. 問答
  3. 安全指標

安全指標

2013-03-23 70 views
2

在執行PCI合規性安全指標掃描時,出現以下錯誤消息。有誰知道如何解決這個問題?安全指標

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server. 

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0 

Host: example.com 

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall> 

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/> 

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code execution vulnerability because the decode() function within the rpc_decoder.php script fails to adequately sanitize user-supplied input before processing it in an eval() call. 
Successful exploitation would result in arbitrary code execution in the context of the application. PHP scripts that implement the phpRPC library, such as RunCMS, are affected by this issue. RunCMS 1.1 through 1.3.a5 are affected, as is phpRPC up to 0.7. 

Resolution: phpRPC is not currently being maintained. RunCMS users should upgrade to a version higher than 1.3.a5 which will hopefully include a fix. 

Risk Factor: High/ CVSS2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2006-1032 BID: 16833 [Less]*

來源

2013-03-23 joby john

+0

你應該張貼到互聯網之前消毒URL和其他敏感信息。我建議你從示例中更改域等,除非你已經有了。 – 2013-03-23 21:02:55

回答

0

這是一個比較嚴重的問題,因爲服務器上的RPC服務可供攻擊者使用。在不知道系統的具體情況的情況下,我不能推薦特定的修復程序。但是,您看到的漏洞很可能是由過時的系統造成的。您應該升級並安裝所有修補程序。如果你的平臺已經EOLed,移動到更新的東西。 The Common Vulnerability Enumeration has some specific information about the vulnerability identified by your scanner that may help you.

來源

2013-03-23 21:06:34

+0

我們正在使用Windows 2008服務器。該項目位於ASP .Net 4.0中,SQL Server作爲2008 R2作爲後端。 我們不使用任何PHP服務器或類似的東西。 它與任何谷歌廣告有關嗎?我們在一些頁面上有他們的js代碼。我試圖通過評論這些行來運行測試。這個錯誤仍然存​​在。 – 2013-03-23 21:19:35

+0

當你不運行PHP時,看到這個錯誤真的很奇怪。我想有可能你鏈接到的一個網站(可能通過JS)可能是脆弱的,但是我一直希望這個錯誤消失,然後一旦你註釋掉了這些代碼。這並沒有什麼意義(我敢肯定,你的頭靠在牆上)。你在用什麼掃描儀? Nessus,Retina等? – 2013-03-23 21:38:35

+0

該測試是通過安全度量標準執行 – 2013-03-23 21:42:31

6

現在這是一個比較老的問題,但我相信這是答案,因爲我有完全相同的問題。

安全指標可以有效地試圖調用的id Linux命令這將返回類似這樣uid=1000(rob) gid=1000(rob) groups=...

我的理論是,安全度量的檢查字符串uid=的反應,看看是否該代碼已被執行的遠程服務器。這將巧合匹配Google的再營銷代碼。例如。在你的問題的UID =部分:src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"

我的解決辦法是,在我們的404頁完全刪除谷歌再營銷標籤,而不是僅僅把它註釋掉了JS或HTML註釋。因爲這是404頁面被返回的URL,他們張貼到(/scripts/modules/phpRPC/server.php)嘗試找到利用。

我希望這可以幫助你,或任何其他人遇到這個問題。

感謝,

羅布

來源

2013-09-16 13:12:26

+0

它發生在每個再營銷標籤頁上,而不僅僅是404頁。他們試圖現在對一個非404頁面進行相同的調用,並且掃描現在將其選中。在與安全度量標準交流之後,我必須向他們提出錯誤的肯定請求,以覆蓋此滲透測試。我在等待他們的迴應。如果重定向到沒有標籤的404頁面的URL看起來像/modules/phpRPC/server.php並且使用正則表達式可能會完成這項工作... – Ashley 2013-09-18 19:27:27

+1

不錯的發現。 Cloudflare會話cookie也是如此。它返回觸發掃描/審計(如Controlscan)的'__cfuid = [random session hash]',通過phpRPC通道將服務器標記爲易受攻擊的。看起來掃描供應商的正則表達式/邏輯是從一個簡單的角度來操作的......他們應該尋找字符串匹配真正通過'#id'命令輸出的方面,而不是僅僅通過任何ol'uid ='返回資產的任何地方。 – dhaupin 2015-08-14 17:09:47

相關問題

 相關問題