Отчеты об уязвимостях при сканировании PCI-DSS
У нас было сканирование PCI на одном из наших веб-сайтов, переданное нам одним из наших клиентов. Есть ряд сообщений об уязвимостях, которые выглядят примерно так:
Сетевая служба: 80/443 URL-адрес приложения: http://www.oursite.com/signup.php Ответ содержит ошибки SQL Server. Это говорит о том, что опасные символы, вставленные тестом, проникли в приложение и достигли самого SQL-запроса (т. Е. Что приложение уязвимо для SQL-инъекций).
Сводная информация о тестировании: header: header X-Forwarded-For =% 2527
Я не уверен, как они говорят, что они внедрили код здесь?
другой пример, который они предоставляют для другого URL с предположительно той же самой проблемой, имеет это как эксплойт:
Сводная информация о тестировании: header: header X-Forwarded-For='
РЕДАКТИРОВАТЬ
Я заглянул в этот заголовок, и кажется, что он устанавливается только Proxy или Load Balancers (которые мы не используем в любом случае). В любом случае, я сам подделал это, и у нас нет никакой уязвимости, поэтому я не уверен, что они выделяют. Поскольку мы не используем этот заголовок, я не уверен, какой будет предполагаемая точка атаки?
Другой пример так называемой уязвимости:
Сетевая служба: 80/443 URL-адрес приложения: http://www.oursite.com/products/product-na-here/370 Тест успешно встроил в ответ сценарий, который будет выполнен после загрузки страницы в браузер пользователя. Это означает, что приложение уязвимо для межсайтовых сценариев.
Сводная информация о тестировании:
путь: путь / продукты /product-na-here/370 -> /products/product-na-here/370, параметр: header >'">alert(957652)
Опять же, я не уверен, что здесь вообще помечено?
Благодарю.
3 ответа
Сканирование автоматизировано и может генерировать ложные срабатывания. Это должно предупредить вас о возможностях уязвимостей, и вам нужно либо объяснить, как вы не уязвимы, либо закрыть уязвимости. (Предполагая, что вы делаете это для аудита соответствия PCI... если нет, то вы просто пытаетесь оправдать / закрыть их внутренне.)
Сканирования основаны на 10 основных уязвимостях OWASP ( http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) в соответствии с требованиями PCI DSS. Взгляни туда; Есть много хороших примеров и действительно подробных объяснений уязвимостей.
Другим вариантом является использование ASV, который не обеспечивает исключительно автоматизированные результаты. Есть несколько хороших ASV, которые используют комбинированный подход к результатам безопасности. Они вручную проверяют, чтобы подтвердить или опровергнуть каждую автоматически обнаруженную уязвимость, а также проводят ручное тестирование, чтобы найти вещи, на которые способен только человек, такие как внедрение SQL-кода, межсайтовый скриптинг и утечка конфиденциальной информации, среди многих других, всегда обеспечивая Нужны четкие примеры векторов атаки.
Полное раскрытие: я работаю на ASV, который предоставляет услугу, подобную тому, что я описываю.
Как упоминалось другим пользователем, большинство результатов сканирования PCI, кажется, отмечают либо ложные срабатывания, либо изменяющиеся методы. Я однажды рекомендовал, чтобы мы не использовали привязку и чтобы доступ по FTP был серьезной дырой в безопасности. Я бы посоветовал вам оспорить их выводы там, где вы считаете нужным.