我们使用 Security Metrics 进行 PCI 合规性扫描。过去没有遇到任何问题,但我们最近的扫描显示我们因“HTTP 反向代理检测”而失败。我猜这与静态资产或 Heroku 在后台的路由方式有关。无论如何,我都不确定该去哪里。搜索了一下,什么也没找到。Heroku 支持毫无用处。
我们在 Ruby 2 上使用 Rails 4。以下是 Security Metrics 报告的所有错误。如能提供任何帮助,我们将不胜感激。
TCP 443 https 5.8 描述:HTTP 反向代理检测 摘要:此端口上运行着透明或反向 HTTP 代理。影响:此 Web 服务器可通过反向 HTTP 代理访问。收到的数据:GET 方法显示了通往此 Web 服务器的代理:HTTP/1.1 vegur 解决方案:不适用 风险因素:中等/CVSS2 基本分数:5.8(AV:N/AC:M/Au:N/C:P/I:P/A:N)CVE:CVE-2004-2320 其他 CVE:CVE-2007-3008 CVE-2005-3498 CVE-2005-3398
TCP 80 http 5.8 描述:HTTP 反向代理检测 概要:此端口上运行着透明或反向 HTTP 代理。 影响:此 Web 服务器可通过反向 HTTP 代理访问。 收到的数据:GET 方法显示了通往此 Web 服务器的代理:HTTP/1.1 vegur 解决方案:不适用 风险因素:中等/CVSS2 基本分数:5.8(AV:N/AC:M/Au:N/C:P/I:P/A:N) CVE:CVE-2004-2320 其他 CVE:CVE-2007-3008 CVE-2005-3498 CVE-2005-3398
答案1
请阅读参考的 CVE 公告。
风险基本上归结为:“HTTP TRACE 方法已启用”。
攻击者可能会滥用 HTTP TRACE 功能来获取 HTTP 标头中的信息,例如 Cookie 和身份验证数据。如果 Web 浏览器中存在其他跨域漏洞,则可以从支持 HTTP TRACE 方法的任何域中读取敏感标头信息。
要解决这个问题,您只需禁用 HTTP TRACE 方法。
对于 Heroku 来说例如:https://stackoverflow.com/questions/17473760/disabled-http-methods-on-heroku