為什麼 PCI 掃描會因為未安裝的組件而失敗?
最近對 Web 伺服器執行 PCI 掃描,結果失敗。有些問題可以解決,但其他問題對我來說毫無意義。
這台機器是全新安裝的,只有兩個東西在執行,.NET 3.5 網站和 dotDefender Web 應用程序防火牆。
但是有幾個錯誤類似於:
Web 伺服器漏洞 影響:/servlet/SessionServlet:發現 JRun 或 Netware WebSphere 預設 servlet。應從伺服器中刪除所有預設程式碼。風險因素:中/CVSS2 基本評分:6.4 CVE:CVE-2000-0539
我不確定這是什麼,但我在伺服器上找不到任何看起來像這樣的東西。
Web 伺服器漏洞 影響:/some.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42:PHP 通過包含特定 QUERY 字元串的某些 HTTP 請求揭示潛在的敏感資訊。風險因素:中/ CVSS2 基本評分:5.0
未安裝 PHP。嘗試將該查詢字元串添加到任何頁面都不會執行任何操作,因為應用程序會忽略它。並且執行該
phpVersion檢查會導致 404。與此類似,還有許多與 JSP 和 Oracle 相關的錯誤也未安裝。Web 伺服器漏洞 影響:/admin/database/wwForum.mdb:Web Wiz Forums pre 7.5 容易受到跨站點腳本攻擊。預設登錄/通行證是管理員/letmein 風險因素:中/CVSS2 基本分數:4.0
有幾個這樣的錯誤,告訴我 Web Wiz Forums、Alan Ward A-Cart 2.0、IlohaMail 等都容易受到攻擊。這些沒有在我能找到的任何地方安裝或引用。
甚至還有對根本不存在的頁面的引用,例如 OpenAutoClassifieds。
誰能指出我正確的方向,為什麼會出現這些錯誤,或者如果它們實際上已安裝,我可能會在哪裡找到這些組件?
注意:此網站和伺服器是主網站的子域。主網站在執行 Apache/PHP 的伺服器上執行,但我無權訪問該伺服器。報告說子域是被掃描的站點,但它是否可能也掃描了主站點?
簡短的回答:不會。
長答案:發生了三件事之一:
- 你的審計員掃描了錯誤的機器,就像@HopelessN00b 說的那樣。
(這是最有可能發生的情況——您說 PCI 站點是一個子域,而它上面的站點位於 Apache/PHP 站點上,因此他們完全有可能掃描了該站點並發現了他們列出的漏洞) 2. 您的機器很快就受到了損害。
(是的,這也發生了——雖然如果你檢查了機器並發現審計結果無效,我認為我們可以排除它。) 3. 你的安全審計員是個白痴
(不要雇用那個人!)
由於 #1 最有可能基於您告訴我們的內容,請找出審核員掃描的機器(主機名和IP 地址),確認它是正確的機器,如果沒有重新掃描。
還要自己檢查主伺服器上的這些漏洞(如果它們確實有效,讓責任方修復它們)。這些是相對嚴重的問題,即使可能(實際上按照 PCI 標準必須)將持卡人數據設備與您的其他站點分開,如果您不解決這些問題,您將繼續在審計中提出危險信號。
(如果您的主站點位於執行所有這些東西的共享託管服務提供商上,您可能需要考慮將其移動到專用盒子或 VPS 以讓您安心。)