PCI Compliance на Windows Web Server 2008 R2

Question

Извините, это не тот подходящий форум, чтобы опубликовать это, но у меня заканчиваются идеи. Недавно мы приобрели новый выделенный сервер (под управлением Windows Web Server 2008 R2). Один из наших клиентов пытается получить PCI Compliance. Сервер обновлен, и мы закрыли все ненужные порты и лазейку. Но сайт продолжает терпеть неудачу в одном из тестов. Я вставить сообщение об ошибке:

---

Название: уязвимый веб-программы (Сингапур) Воздействие: Удаленный злоумышленник может выполнить произвольные команды, создать или перезаписать файлы или просматривать файлы или каталоги на веб-сервере.

данных Переданные:

GET /thumb.php?image=../data/users.csv.php%00.jpg 
HTTP/1.0 Host: www.monorep.co.uk 
User-Agent: Mozilla/4.0 
Connection: Keep-alive 

данных Поступило:

And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" --> 
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196 

Сингапурская галерею изображений приложения воздействуют многочисленные уязвимости. Эти уязвимости подвержены уязвимости в Сингапуре от 0,10 и более раненых: обход каталога в index.php, позволяющий несанкционированный доступ к чтению конфиденциальных файлов в приложении ' s, например файл users.csv.php, который содержит зашифрованные пароли. Межсайтовый скриптинг в индексе. php Способность получить путь установки Сингапур 0.9.10 и ранее подвержены этим уязвимостям. Обход каталога в файле thumb.php, позволяющий несанкционированный доступ к чтению конфиденциальных файлов в приложении ' s, например файл users.csv.php, который содержит зашифрованные пароли. Уязвимость загрузки файлов в функции addImage позволяет зарегистрированным пользователям загружать и выполнять PHP-скрипты Обход каталога, позволяющий удалять произвольные каталоги на платформах Windows, если веб-сервер имеет право на запись в каталог. Межсайтовый скриптинг. Разрешение: обновить до Сингапура 0.10.1 или выше, если доступно.

Фактор риска: Высокий/CVSS2 Базовый Оценка: 7.5 (AV: N/AC: L/Au: N/C: P/I: P/A: P) CVE: CVE-2004-1408 БИД : 11990 18518 Дополнительные CVEs: CVE-2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

---

у меня нет ни малейшего представления, что это такое сверху примерно. Мы не используем это приложение «Сингапур», и мы вообще не запускаем php на сервере.

Может кто-нибудь предложить какие-либо предложения по этому поводу. Я был бы чудовищем, благодарным за любые советы.

Спасибо.

Answer 1

Сканеры безопасности PCI - это простое программное обеспечение с большими базами данных. Они призваны обеспечить вдохновение для обеспечения безопасности системы, но люди должны следить за любыми предметами. Обсудите все, что вы не можете решить с помощью оценщика, и оцените, могут ли результаты сканирования представлять собой реальные риски безопасности в вашей среде.

Тем не менее, наименьший шаг за шагом в процессе оценки, как правило, основан на минимальной площади поверхности и чистых проверках безопасности, конечно.

Чтобы быть полезным также с программным обеспечением, которое никогда не было замечено раньше, сканеры проверяют подозрительное поведение, а не известные версии программного обеспечения.С другой стороны, чтобы дать вам практическое руководство, они пытаются указать на компонент, с которым может быть связано подозрительное поведение, для поощрения полного доступа к исправлению безопасности (удаление, обновление), а не для обнаружения обнаруженных ошибочных действий один за другим.

Конечно, вы никогда не работали в Сингапуре независимо от того, что было. Проблема здесь заключается в том, что ваша конфигурация IIS, кажется, чтобы позволить два проблематичных вещей:

• Разрешить .. в HTTP-запросах на доступ к файлам за пределами настроенных папок
• Подавать пути, которые выглядят как изображения (.jpg) в сеть сервер, но в конечном итоге ссылаются на нечто гораздо более чувствительное из-за строкового терминатора строки в стиле C++ (MIME, закодированного как %00), вставленного в путь.

Подробнее о the former issue здесь. Прочитайте here, как включать и выключать родительские пути. (Родительские пути отключены по умолчанию в IIS 7, и если вы не изменили это, этот пункт в Сингапуре является полностью ложным сигналом.)