2
一家审计公司表示,我们不符合PCI标准,但对如何解决问题提供了无益的指导。他们显然希望我们能聘请他们的咨询部门。符合PCI要求的资源/服务?修复了“类别参数中的跨站脚本漏洞”漏洞?
在收到PCI合规性审核警报后,您用什么资源/服务来填补空白?
是否有网站提供解决PCI合规问题的有用资源?
举例来说,这里是我们被标记的神秘的失败消息之一:
“描述:跨站脚本漏洞类别参数URL X”
但对没有明确的指导如何关闭此漏洞。
谢谢。
以下是完整的信息:’跨在/ s/category类别参数中的站点脚本编制漏洞; jsessionid = 6D8425AEB28A1C87D234AE3D97270C6B“其中唯一的查询参数是这样的,”?category = Brass + plates“ – Crashalot 2011-05-26 22:53:17
@Crashalot,你在页面某处显示'category” ?如果有人可以将它改为'?category = ',那么b e是什么导致漏洞 – 2011-05-27 14:58:03
是的,该参数是我们用来识别显示哪个类别的类别ID。您是否在说我们需要更改我们的URL结构以关闭此漏洞?我们不使用参数在页面上执行任何Javascript。该参数在后端读取并索引到我们的数据库中。 – Crashalot 2011-05-27 20:02:14