我们对我们的客户之一传递给我们的一个网站进行了PCI扫描。有许多的漏洞报告,看起来像这样:来自PCI-DSS扫描的漏洞报告
网络服务:80/443申请网址: http://www.oursite.com/signup.php 响应包含SQL服务器 错误。这表明由 测试插入的 危险字符穿透了应用程序,并且 本身到达了SQL查询(即,该应用程序易受 SQL注入威胁的 )。
摘要测试信息:头:头部X - 转发,对于=%2527
我不知道他们是怎么说,他们已经在这里注入的代码?
它们提供了一个不同的URL与推测相同的问题另一实例具有这样的利用:
摘要测试信息:标题: 头X - 转发,对于=”
编辑
我已经看过这个头,它似乎是它的唯一设置由代理或负载平衡器(我们不使用反正)。无论哪种方式,我自己都在欺骗它,并且在我们的最后没有任何漏洞,所以我不确定它们突出显示的是什么。由于我们没有使用这个标题,我不确定假设的攻击点会是什么?
我们有一个所谓的脆弱性的另一个例子是这样的:
网络服务:80/443申请网址: http://www.oursite.com/products/product-na-here/370 试验成功的响应嵌入 脚本,它一旦页面加载到 用户的浏览器中,将执行 。这意味着 应用程序易受 跨站脚本攻击。
摘要测试 信息:
路径:路径 /产品/产品-NA-此处/ 370 - > /产品/产品-NA-此处/ 370,参数: 头>'” >警报(957652)
同样,我不知道这里正在标记呢?
感谢。