我公司的 Web 服务器最近未能通过我们的季度 PCI 扫描,原因是存在 Apache HTTPOnly Cookie 泄露,这个漏洞从 apache 2.2.22 开始才得到修复。我目前正在运行 Ubuntu 10.04 LTS 和 apache 2.2.14,我到处寻找与 10.04LTS 兼容的 apache 2.2.22 存储库,以便我可以使用 apt-get 对其进行升级。
有吗?还是我需要手动更新 apache?还是我需要升级到 12.04LTS 才能安装 apache 2.2.22?
非常感谢,我希望这可以给其他人带来帮助,因为我可以想象许多其他技术人员也因为同样的原因未能通过季度 PCI 扫描!!
答案1
想必Paypal 的季度扫描还需等待一段时间。
据我所知,问题在于 cookie 无法通过 javascript 访问 - 但是它的值在 html 主体中公开 - 因此如果您可以将 javascript 注入页面,那么它就可以被捕获 - 因此利用实际上依赖于二次攻击媒介。
PCI 是否真的发布了您必须遵守的 CERT 列表?
无论如何,你可以通过配置自定义错误文档对于 400 错误 - 你真的不应该依赖默认页面任何错误信息。