在 CentOS LAMP 盒上,PCI 合规性扫描在以下情况下失败:
Apache Shiro URI Path Security Traversal Information Disclosure http/80
shiro据我所知,除非 Apache 内置了 Shiro,否则服务器没有安装 Shiro。我在服务器中搜索和 ,却找不到它的踪迹shiro.ini。
什么会导致扫描仪认为 Shiro 已安装且可能存在漏洞?Server标头或中没有暴露任何内容ServerSignature。
答案1
如果报告未提供信息,请详细说明触发检测的请求和响应。如果不能准确指出扫描仪检测逻辑中的缺陷,就很难证明这是误报 - 虽然很明显这是误报,因为 Shiro 没有运行。
通常,这种误报意味着 Web 服务器发送的响应不符合扫描仪的预期 - 也许您的系统正在发送响应代码,200或者30X扫描仪认为应该发送 404,或者自定义错误文档的内容使扫描仪认为它已成功从遍历中获取信息。