来自PCI-DSS扫描的漏洞报告

Question

我们对我们的客户之一传递给我们的一个网站进行了PCI扫描。有许多的漏洞报告，看起来像这样：

网络服务：80/443申请网址： http://www.oursite.com/signup.php 响应包含SQL服务器 错误。这表明由 测试插入的 危险字符穿透了应用程序，并且 本身到达了SQL查询（即，该应用程序易受 SQL注入威胁的 ）。

摘要测试信息：头：头部X - 转发，对于=％2527

我不知道他们是怎么说，他们已经在这里注入的代码？

它们提供了一个不同的URL与推测相同的问题另一实例具有这样的利用：

摘要测试信息：标题： 头X - 转发，对于=”

编辑
我已经看过这个头，它似乎是它的唯一设置由代理或负载平衡器（我们不使用反正）。无论哪种方式，我自己都在欺骗它，并且在我们的最后没有任何漏洞，所以我不确定它们突出显示的是什么。由于我们没有使用这个标题，我不确定假设的攻击点会是什么？

我们有一个所谓的脆弱性的另一个例子是这样的：

网络服务：80/443申请网址： http://www.oursite.com/products/product-na-here/370 试验成功的响应嵌入 脚本，它一旦页面加载到 用户的浏览器中，将执行 。这意味着 应用程序易受 跨站脚本攻击。

摘要测试 信息：

路径：路径 /产品/产品-NA-此处/ 370 - > /产品/产品-NA-此处/ 370，参数： 头>'” >警报（957652）

同样，我不知道这里正在标记呢？

感谢。

Answer 1

扫描是自动的，可能会产生误报。它会提醒您存在漏洞的可能性，并且您需要解释您不易受到攻击或关闭漏洞。（假设您正在为PCI合规性审计做这些......如果没有，那么您只是尝试在内部证明/关闭它们。）

扫描基于OWASP排名前10位的漏洞（http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project） PCI DSS。看看那里;有很多很好的例子和对这些漏洞的深入解释。

Answer 2

正如其他用户所提到的，大多数PCI扫描结果似乎都会标记误报或改变实践。我曾看到有人曾建议我们没有使用绑定，并且允许FTP访问是一个主要的安全漏洞。我建议你在你认为合适的地方挑战他们的发现。

Answer 3

另一种选择是使用不提供自动结果的ASV。有一些很好的ASV采用混合方式来实现安全结果。他们通过手动审核来确认或拒绝每一个自动发现的漏洞，并提供手动测试来发现只有人类可靠的东西，比如SQL注入，跨站点脚本和敏感信息泄露等等，它们始终提供清楚的例子需要的攻击媒介。

完全披露：我为提供类似于我所描述的服务的ASV工作。