最近对 Web 服务器进行了 PCI 扫描,结果失败。有些问题可以修复,但其他问题对我来说根本就毫无意义。
该机器是全新安装的,仅运行两个程序,.NET 3.5 网站和 dotDefender Web 应用程序防火墙。
但是有几个类似以下的错误:
Web 服务器漏洞影响:/servlet/SessionServlet:发现 JRun 或 Netware WebSphere 默认 servlet。应从服务器中删除所有默认代码。风险因素:中等/CVSS2 基本评分:6.4 CVE:CVE-2000-0539
我不确定这是什么,但我在服务器上找不到任何类似的东西。
Web 服务器漏洞影响:/some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42:PHP 通过包含特定查询字符串的某些 HTTP 请求泄露潜在的敏感信息。风险因素:中等/CVSS2 基本评分:5.0
PHP 未安装。尝试将该查询字符串添加到任何页面都不起作用,因为应用程序会忽略它。并且执行该phpVersion检查会导致 404。与此类似,还有数十个与 JSP 和 Oracle 相关的错误,它们也未安装。
Web 服务器漏洞影响:/admin/database/wwForum.mdb:Web Wiz Forums 7.5 之前的版本容易受到跨站点脚本攻击。默认登录名/密码为 Administrator/letmein 风险因素:中等/CVSS2 基本评分:4.0
有几个这样的错误,告诉我 Web Wiz Forums、Alan Ward A-Cart 2.0、IlohaMail 等都存在漏洞。我找不到任何安装或引用这些软件的地方。
其中甚至引用了一些根本不存在的页面,比如 OpenAutoClassifieds。
有人能指出为什么会出现这些错误吗?或者如果确实安装了这些组件,我应该在哪里找到它们?
注意:此网站和服务器是主网站的子域。主网站在运行 Apache/PHP 的服务器上运行,但我无权访问该服务器。报告称子域是被扫描的网站,但它是否也有可能扫描了主网站?
答案1
简短的回答是:不会。
详细回答:发生了以下三件事之一:
您的审计员扫描了错误的机器,就像@HopelessN00b 所说的那样。
(这是最有可能的情况 - 您说 PCI 站点是一个子域,而其上方的站点位于 Apache/PHP 站点上,因此他们完全有可能扫描了该站点并发现了他们列出的漏洞)您的机器很快就被入侵了。
(是的,这种情况也会发生——不过,如果您检查了机器并发现审计结果无效,我想我们可以排除这种可能性。)你的安全审计员是个白痴
(不要雇用那个家伙!)
由于根据您提供的信息,#1 是最有可能的,因此找出哪台机器(主机名和审计员可以使用 IP 地址 (IP address) 来检查计算机是否正确,如果不是,则重新进行扫描。
还要亲自检查主服务器上的漏洞(如果确实存在,请责任方修复)。这些都是相对严重的问题,尽管可能存在(事实上,根据 PCI 标准)必须)将持卡人数据设备与您的其他网站分开,如果您不解决这些问题,您的审计将继续发出警告。
(如果您的主网站位于运行所有这些东西的共享托管提供商上,您可能需要考虑将其移动到专用机箱或 VPS,以保证您的安心。)