Windows Web Server 2008 R2上的PCI合規性

Question

對不起，這不是正確的論壇發佈此，但我在這裏用盡想法。我們最近購買了一臺新的專用服務器（運行Windows Web Server 2008 R2）。我們的客戶之一，試圖獲得PCI合規性。服務器是最新的，我們已經關閉了所有不需要的端口和漏洞。但該網站仍然沒有通過測試之一。我會貼上失敗消息：

---

標題：漏洞的Web程序（新加坡）影響：遠程攻擊者可以在web服務器上執行任意命令，創建或覆蓋文件，或查看文件或目錄。

數據發送：

GET /thumb.php?image=../data/users.csv.php%00.jpg 
HTTP/1.0 Host: www.monorep.co.uk 
User-Agent: Mozilla/4.0 
Connection: Keep-alive 

數據接收：

And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" --> 
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196 

新加坡圖片庫應用程序由多個漏洞的影響。新加坡0.10及更早版本受這些漏洞影響：index.php中的目錄遍歷允許未經授權的讀取訪問應用程序'的目錄中的敏感文件，例如包含加密密碼的users.csv.php文件索引中的跨站點腳本。 php獲取安裝路徑的能力新加坡0.9.10及更早版本受到這些漏洞的影響。在thumb.php中進行目錄遍歷，允許未經授權的讀取訪問應用程序' s目錄中的敏感文件，例如包含加密密碼的users.csv.php文件addImage函數中的文件上載漏洞允許登錄用戶上載和執行PHP腳本允許在Windows平臺上刪除任意目錄的目錄遍歷（如果Web服務器具有對目錄的寫入訪問權限）跨站點腳本解決方案：升級到新加坡0.10.1或更高版本（如果可用）。

風險因素：高/ CVSS2基本分數：7.5（AV：N/AC：L/Au的：N/C：P/I：P/A：P） CVE：CVE-2004年至1408年BID ：11990分18518附加的CVE：CVE-2006-3194 CVE-2006-3196 CVE-2004年至1409年CVE-2004至1407年CVE-2006-3195

---

我還是不知道這是什麼在約。我們不使用這個「新加坡」應用程序，我們根本不在服務器上運行php。

請問任何人都可以對此提供任何建議。我會爲任何建議提供的怪物感激。

謝謝。

Answer 1

PCI安全掃描儀是具有大型數據庫的簡單軟件。它們旨在爲確保一個系統提供靈感，但是要追蹤任何發現的項目是由人類決定的。討論您無法與評估人員解決的任何問題，並評估掃描結果是否可能代表您環境中的真正安全風險。

也就是說，通過評估程序的最小努力方式傾向於基於最小的表面積和清潔的安全掃描，當然。

對於以前從未見過的軟件也有用，掃描程序會檢查可疑行爲，而不是已知的錯誤軟件版本。另一方面，爲了給你提供實際的指導，他們試圖指出一個可疑行爲可能與之相關的組件，以鼓勵完全可用的安全補丁（刪除，升級），而不是一個接一個地處理檢測到的錯誤行爲。

當然，你永遠不會跑新加坡，無論那是什麼。這裏的問題是，你的IIS的配置似乎允許兩個有問題的東西：

• 允許..在HTTP請求訪問配置的文件夾
• 即成路徑，看起來就像圖像（.JPG）到網絡之外的文件服務器，但最終引用了一些更敏感的東西，因爲在路徑中插入了C++風格的字符串終結符（MIME編碼爲%00）。

閱讀更多關於the former issue的地方。閱讀here如何打開和關閉父路徑。 （默認情況下，在IIS 7中父路徑是關閉的，如果您沒有更改，這個新加坡項目是一個完全虛假警報。）