- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们在我们的一个网站上进行了 PCI 扫描,由我们的一位客户传递给我们。有许多看起来像这样的漏洞报告:
Network service: 80/443 Application URL: http://www.oursite.com/signup.php The response contains SQL Server errors. This suggests that the hazardous characters inserted by the test penetrated the application and reached the SQL query itself (i.e. that the application is vulnerable to SQL Injection).
Summary test information: header: header X-Forwarded-For=%2527
Summary test information: header: header X-Forwarded-For='
Network service: 80/443 Application URL: http://www.oursite.com/products/product-na-here/370 The test successfully embedded a script in the response, and it will be executed once the page is loaded in the user's browser. This means the application is vulnerable to Cross-Site Scripting.
Summary test information:
path: path /products/product-na-here/370 -> /products/product-na-here/370,parameter: header >'">alert(957652)
最佳答案
扫描是自动化的,可能会产生误报。这是为了提醒您注意漏洞的可能性,您需要解释您如何不脆弱或关闭漏洞。 (假设您这样做是为了进行 PCI 合规性审计……如果不是,那么您只需尝试在内部证明/关闭它们。)
扫描基于 PCI DSS 规定的 OWASP 前 10 个漏洞 (http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)。看看那里;有很多很好的例子和对漏洞的深入解释。
关于xss - PCI-DSS 扫描的漏洞报告,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1784578/
当操作系统枚举 PCI 总线时,它会从每个 PCI 设备收集信息。我的问题是,操作系统在哪里存储这些信息?每个操作系统在运行时是否在 RAM 中都有一个 64KB 的数组? 最佳答案 PCI 信息被存
我们正在做一个项目,它的性质有点像拼车,我读到了 PCI 合规性,我知道如果我们处理信用卡或付款,我们必须符合 PCI 合规性我有点模棱两可,我们是否存储我们的司机银行信息例如数据库中的帐号(加密),
我们过去从未传输、处理或存储信用卡信息,因为我们通过 PayPal 完成所有操作,因此我们从不需要符合 PCI 标准。 但是,我们正在推出一个新的在线商店,并通过无缝结账处理信用卡信息而不重定向到 P
我有一个 NIC 卡和一个 HDD,它们都连接在 Linux 机器的 PCIe 插槽上。理想情况下,我希望在不涉及 CPU 或最少涉及 CPU 的情况下将传入数据包传送到 HDD。是否可以像这样沿着
根据 PCI 标准,设备是根据供应商 ID、设备 ID 和总线编号来识别的。所有相同类型的设备都具有相同的供应商 ID 和设备 ID。如果我将两个这样的设备放在同一条总线上,比如总线 0。PCI 软件
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
我们进行的某些信用卡处理需要符合 PCI 标准。人们在其他商店是如何做到这一点的? 如何保护您的 SVN? 如何保护构建服务器的安全? 代码如何从开发人员迁移到生产环境? 最佳答案 不是为了转移其他答
我只是想知道如果您存储加密的信用卡号以进行定期计费,PCI 认证级别会是多少。 我计划每年交易量少于 20,000 笔,但我不确定存储的信用卡号码。 最佳答案 如果您确实(确实)需要存储卡号,那么您就
我正在查看商家帐户,据我所知,存储送货地址符合 PCI 合规性,这是真的吗?此外,Recurly 的 API 似乎需要 SAQ C 或 SAQ D,我查看了一些示例问题: 配置标准是否包括对防火墙的要
我知道 PCI 配置空间中的基地址寄存器 (BAR) 定义了 PCI 地址的起始位置,但是该区域的大小是如何确定的? 当然,这是硬件的一个属性,因为只有它知道它可以处理的地址空间有多远。但是,我似乎在
我正在做的是开发一款财务软件,并将其连接到符合 pci 标准的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合 pci,也不打算符合 pci。但我们希望保存 PAN 的后 4 位数字,以帮助一线
我目前正在从事该项目,其功能之一是电子商务,因此我们的系统应负责用户信用卡信息和其他凭证信息的安全性。 我知道任何处理用户支付卡信息的网络服务都应遵循 PCI 合规性(支付卡信息数据安全标准)。作为前
我们需要为基于订阅/定期付款的 SaaS 应用程序存储信用卡的最后 4 位数字(以便让客户知道他们使用了哪张卡?)和到期日期(通知客户他们的卡即将到期)。 PCI DSS 中允许这两种数据存储吗?请引
我正在用 C# 编写一个程序来对许多 Windows XP 工作站执行硬件审核。 我需要确定哪些 PCI 设备是通过主板插槽连接的实际卡 - 而不是也使用 PCI 总线(内置于主板中)的板载设备。 我
在 Linux 中,有没有办法找出哪个 PCI 卡插入哪个 PCI 插槽? /sys/bus/pci/devices/包含许多不是卡的设备(网桥、CPU channel 等),我无法在设备目录中找到有
我们想使用银行 API 从我们的银行账户到用户的银行账户进行 SEPA 转账。为此,用户需要在表格中输入他的 IBAN 和 BIC。我们获取这些数据(受 SSL 保护)并使用银行 REST API 转
我以前从未处理过 PCI 合规性问题。我一直在阅读他们的文档,它说我需要保护信用卡号、到期日期和持卡人的姓名。永远不会存储安全代码。 在他们的文档中,它只是说保护。这是说我需要加密数据库中的这 3 列
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 2 年前。 Improve th
我正在做一个项目,我需要从用户空间通过 PCI BAR0 访问 FPGA 内存。 我以前在旧内核中所做的是打开位于 /sys/bus/pci/devices/my_device/ 中的名为 resou
如果我的 PCI 总线(没有 PCI-PCI 桥)有 3 个设备: spy 设备、发送方 PCI 设备和接收方设备(例如,从 PCI 到 CPU 的桥接器)。 发送方开始向接收方传输数据。 spy 设
我是一名优秀的程序员,十分优秀!