安全指标

在执行PCI合规性安全指标扫描时，出现以下错误消息。有谁知道如何解决这个问题？安全指标

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server. 

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0 

Host: example.com 

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall> 

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/> 

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code execution vulnerability because the decode() function within the rpc_decoder.php script fails to adequately sanitize user-supplied input before processing it in an eval() call. 
Successful exploitation would result in arbitrary code execution in the context of the application. PHP scripts that implement the phpRPC library, such as RunCMS, are affected by this issue. RunCMS 1.1 through 1.3.a5 are affected, as is phpRPC up to 0.7. 

Resolution: phpRPC is not currently being maintained. RunCMS users should upgrade to a version higher than 1.3.a5 which will hopefully include a fix. 

Risk Factor: High/ CVSS2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2006-1032 BID: 16833 [Less]*

来源

2013-03-23 joby john

你应该张贴到互联网之前消毒URL和其他敏感信息。我建议你从示例中更改域等，除非你已经有了。 – 2013-03-23 21:02:55

这是一个比较严重的问题，因为服务器上的RPC服务可供攻击者使用。在不知道系统的具体情况的情况下，我不能推荐特定的修复程序。但是，您看到的漏洞很可能是由过时的系统造成的。您应该升级并安装所有修补程序。如果你的平台已经EOLed，移动到更新的东西。 The Common Vulnerability Enumeration has some specific information about the vulnerability identified by your scanner that may help you.

来源

2013-03-23 21:06:34

我们正在使用Windows 2008服务器。该项目位于ASP .Net 4.0中，SQL Server作为2008 R2作为后端。我们不使用任何PHP服务器或类似的东西。它与任何谷歌广告有关吗？我们在一些页面上有他们的js代码。我试图通过评论这些行来运行测试。这个错误仍然存在。 – 2013-03-23 21:19:35

当你不运行PHP时，看到这个错误真的很奇怪。我想有可能你链接到的一个网站（可能通过JS）可能是脆弱的，但是我一直希望这个错误消失，然后一旦你注释掉了这些代码。这并没有什么意义（我敢肯定，你的头靠在墙上）。你在用什么扫描仪？ Nessus，Retina等？ – 2013-03-23 21:38:35

该测试是通过安全度量标准执行 – 2013-03-23 21:42:31

现在这是一个比较老的问题，但我相信这是答案，因为我有完全相同的问题。

安全指标可以有效地试图调用的id Linux命令这将返回类似这样uid=1000(rob) gid=1000(rob) groups=...

我的理论是，安全度量的检查字符串uid=的反应，看看是否该代码已被执行的远程服务器。这将巧合匹配Google的再营销代码。例如。在你的问题的UID =部分：src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&label=PlcJCKu92AQ Q1aPv2wM&guid=ON&script=0"

我的解决办法是，在我们的404页完全删除谷歌再营销标签，而不是仅仅把它注释掉了JS或HTML注释。因为这是404页面被返回的URL，他们张贴到（/scripts/modules/phpRPC/server.php）尝试找到利用。

我希望这可以帮助你，或任何其他人遇到这个问题。

感谢，

罗布

来源

2013-09-16 13:12:26

它发生在每个再营销标签页上，而不仅仅是404页。他们试图现在对一个非404页面进行相同的调用，并且扫描现在将其选中。在与安全度量标准交流之后，我必须向他们提出错误的肯定请求，以覆盖此渗透测试。我在等待他们的回应。如果重定向到没有标签的404页面的URL看起来像/modules/phpRPC/server.php并且使用正则表达式可能会完成这项工作... – Ashley 2013-09-18 19:27:27

不错的发现。 Cloudflare会话cookie也是如此。它返回触发扫描/审计（如Controlscan）的'__cfuid = [random session hash]'，通过phpRPC通道将服务器标记为易受攻击的。看起来扫描供应商的正则表达式/逻辑是从一个简单的角度来操作的......他们应该寻找字符串匹配真正通过'＃id'命令输出的方面，而不是仅仅通过任何ol'uid ='返回资产的任何地方。 – dhaupin 2015-08-14 17:09:47

回答

相关问题