來自PCI-DSS掃描的漏洞報告

Question

我們對我們的客戶之一傳遞給我們的一個網站進行了PCI掃描。有許多的漏洞報告，看起來像這樣：

網絡服務：80/443申請網址： http://www.oursite.com/signup.php 響應包含SQL服務器 錯誤。這表明由 測試插入的 危險字符穿透了應用程序，並且 本身到達了SQL查詢（即，該應用程序易受 SQL注入威脅的 ）。

摘要測試信息：頭：頭部X - 轉發，對於=％2527

我不知道他們是怎麼說，他們已經在這裏注入的代碼？

它們提供了一個不同的URL與推測相同的問題另一實例具有這樣的利用：

摘要測試信息：標題： 頭X - 轉發，對於=」

編輯
我已經看過這個頭，它似乎是它的唯一設置由代理或負載平衡器（我們不使用反正）。無論哪種方式，我自己都在欺騙它，並且在我們的最後沒有任何漏洞，所以我不確定它們突出顯示的是什麼。由於我們沒有使用這個標題，我不確定假設的攻擊點會是什麼？

我們有一個所謂的脆弱性的另一個例子是這樣的：

網絡服務：80/443申請網址： http://www.oursite.com/products/product-na-here/370 試驗成功的響應嵌入 腳本，它一旦頁面加載到 用戶的瀏覽器中，將執行 。這意味着 應用程序易受 跨站腳本攻擊。

摘要測試 信息：

路徑：路徑 /產品/產品-NA-此處/ 370 - > /產品/產品-NA-此處/ 370，參數： 頭>'」 >警報（957652）

同樣，我不知道這裏正在標記呢？

感謝。

Answer 1

掃描是自動的，可能會產生誤報。它會提醒您存在漏洞的可能性，並且您需要解釋您不易受到攻擊或關閉漏洞。（假設您正在爲PCI合規性審計做這些......如果沒有，那麼您只是嘗試在內部證明/關閉它們。）

掃描基於OWASP排名前10位的漏洞（http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project） PCI DSS。看看那裏;有很多很好的例子和對這些漏洞的深入解釋。

Answer 2

正如其他用戶所提到的，大多數PCI掃描結果似乎都會標記誤報或改變實踐。我曾看到有人曾建議我們沒有使用綁定，並且允許FTP訪問是一個主要的安全漏洞。我建議你在你認爲合適的地方挑戰他們的發現。

Answer 3

另一種選擇是使用不提供自動結果的ASV。有一些很好的ASV採用混合方式來實現安全結果。他們通過手動審覈來確認或拒絕每一個自動發現的漏洞，並提供手動測試來發現只有人類可靠的東西，比如SQL注入，跨站點腳本和敏感信息泄露等等，它們始終提供清楚的例子需要的攻擊媒介。

完全披露：我爲提供類似於我所描述的服務的ASV工作。