最近、Web サーバーに対して PCI スキャンを実行したところ、失敗しました。問題の一部は修正できましたが、他の問題はまったく理解できませんでした。
マシンはクリーン インストールされており、実行されているのは .NET 3.5 Web サイトと dotDefender Web アプリケーション ファイアウォールの 2 つだけです。
ただし、次のようなエラーがいくつかあります:
Web サーバーの脆弱性 影響: /servlet/SessionServlet: JRun または Netware WebSphere のデフォルト サーブレットが見つかりました。すべてのデフォルト コードをサーバーから削除する必要があります。リスク要因: 中/ CVSS2 ベース スコア: 6.4 CVE: CVE-2000-0539
これが何なのかはわかりませんが、サーバー上でこれに似たものは見つかりません。
Web サーバーの脆弱性の影響: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP は、特定のクエリ文字列を含む特定の HTTP リクエストを介して、潜在的に機密性の高い情報を漏らします。リスク要因: 中/ CVSS2 基本スコア: 5.0
PHP がインストールされていません。そのクエリ文字列を任意のページに追加しようとしても、アプリケーションがそれを無視するため何も起こりません。そして、そのphpVersion
チェックを実行すると 404 が返されます。これと同様に、JSP と Oracle に関連するエラーが多数ありますが、これらもインストールされていません。
Web サーバーの脆弱性 影響: /admin/database/wwForum.mdb: Web Wiz Forums 7.5 より前のバージョンは、クロスサイト スクリプティング攻撃に対して脆弱です。デフォルトのログイン/パスワードは Administrator/letmein です。リスク要因: 中/CVSS2 基本スコア: 4.0
このようなエラーがいくつかあり、Web Wiz Forums、Alan Ward A-Cart 2.0、IlohaMail などが脆弱であることを示しています。これらはどこにもインストールされておらず、参照もされていません。
OpenAutoClassifieds のように、存在しないページへの参照さえあります。
これらのエラーが表示される理由、またはこれらのコンポーネントが実際にインストールされている場合にそれらのコンポーネントを見つけるにはどこを調べればよいかについて、正しい方向を教えていただけますか?
注: この Web サイトとサーバーは、メイン Web サイトのサブドメイン用です。メイン Web サイトは Apache/PHP を実行しているサーバー上で実行されていますが、そのサーバーにアクセスできません。レポートには、サブドメインがスキャン対象のサイトであると記載されていますが、メイン サイトもスキャンされている可能性はありますか?
答え1
短い答え: そうはなりません。
長い答え: 次の 3 つのうちのいずれかが起こりました。
@HopelessN00b が言ったように、監査人が間違ったマシンをスキャンしました。
(これが最もありそうなシナリオです - PCI サイトはサブドメインであり、その上のサイトは Apache/PHP サイト上にあるとおっしゃっているので、そのサイトをスキャンして、リストされている脆弱性を発見した可能性は十分にあります)あなたのマシンは、あっという間に侵害されました。
(はい、これも起こります。ただし、マシンをチェックして監査結果が無効であることがわかった場合は、除外できると思います。)あなたのセキュリティ監査人はバカです
(そんな男を雇ってはいけない!)
お話いただいた内容から判断すると、#1 が最も可能性が高いので、どのマシン (ホスト名) かを調べてください。そして監査人がスキャンしたマシン(IP アドレスなど)を確認し、正しいマシンであることを確認します。正しくない場合は、スキャンを再度実行します。
また、メインサーバーに対してこれらの脆弱性を自分でチェックしてください(そして、それが本当に有効であれば、責任者に修正してもらいます)。これらは比較的深刻な問題であり、PCI標準ではしなければならない) カード所有者データ機器と他のサイトが分離されていない場合、問題を解決しないと、監査で警告が出続けることになります。
(メインサイトがこれらすべてを実行している共有ホスティングプロバイダー上にある場合は、安心のために専用ボックスまたは VPS に移行することを検討してください。)