gpt4 book ai didi

xss - PCI-DSS 扫描的漏洞报告

转载 作者:行者123 更新时间:2023-12-04 07:01:21 31 4
gpt4 key购买 nike

我们在我们的一个网站上进行了 PCI 扫描,由我们的一位客户传递给我们。有许多看起来像这样的漏洞报告:

Network service: 80/443 Application URL: http://www.oursite.com/signup.php The response contains SQL Server errors. This suggests that the hazardous characters inserted by the test penetrated the application and reached the SQL query itself (i.e. that the application is vulnerable to SQL Injection).

Summary test information: header: header X-Forwarded-For=%2527



我不确定他们怎么说他们在这里注入(inject)了代码?

他们提供的另一个例子是一个不同的 URL,据说这个问题与漏洞利用相同:

Summary test information: header: header X-Forwarded-For='



编辑
我查看了此 header ,它似乎仅由代理或负载均衡器设置(无论如何我们都不使用)。无论哪种方式,我自己都对其进行了欺骗,并且我们最终没有任何漏洞,所以我不确定他们在强调什么。由于我们不使用此 header ,因此我不确定假定的攻击点是什么?

我们有一个所谓的漏洞的另一个例子是:

Network service: 80/443 Application URL: http://www.oursite.com/products/product-na-here/370 The test successfully embedded a script in the response, and it will be executed once the page is loaded in the user's browser. This means the application is vulnerable to Cross-Site Scripting.

Summary test information:

path: path /products/product-na-here/370 -> /products/product-na-here/370,parameter: header >'">alert(957652)



同样,我不确定这里标记了什么?

谢谢。

最佳答案

扫描是自动化的,可能会产生误报。这是为了提醒您注意漏洞的可能性,您需要解释您如何不脆弱或关闭漏洞。 (假设您这样做是为了进行 PCI 合规性审计……如果不是,那么您只需尝试在内部证明/关闭它们。)

扫描基于 PCI DSS 规定的 OWASP 前 10 个漏洞 (http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)。看看那里;有很多很好的例子和对漏洞的深入解释。

关于xss - PCI-DSS 扫描的漏洞报告,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1784578/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com