Kürzlich wurde ein PCI-Scan eines Webservers durchgeführt und das Ergebnis war ein Fehler. Einige der Probleme konnten behoben werden, andere sind mir jedoch einfach unverständlich.
Auf der Maschine wurde eine Neuinstallation durchgeführt, es laufen nur zwei Dinge: die .NET 3.5-Website und die dotDefender-Webanwendungsfirewall.
Es gibt jedoch mehrere Fehler ähnlich den folgenden:
Webserver-Sicherheitslücke Auswirkungen: /servlet/SessionServlet: JRun- oder Netware WebSphere-Standardservlet gefunden. Der gesamte Standardcode sollte von den Servern entfernt werden. Risikofaktor: Mittel/ CVSS2-Basiswert: 6,4 CVE: CVE-2000-0539
Ich bin nicht sicher, was das ist, aber ich kann auf dem Server nichts finden, das auch nur annähernd so aussieht.
Webserver-Sicherheitslücke Auswirkung: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP gibt potenziell vertrauliche Informationen über bestimmte HTTP-Anfragen preis, die bestimmte QUERY-Zeichenfolgen enthalten. Risikofaktor: Mittel/ CVSS2-Basiswert: 5,0
PHP ist nicht installiert. Der Versuch, diese Abfragezeichenfolge zu einer Seite hinzuzufügen, führt zu nichts, da die Anwendung sie ignoriert. Und diese phpVersionÜberprüfung führt zu einer 404-Fehlermeldung. Ähnlich verhält es sich mit Dutzenden von Fehlern im Zusammenhang mit JSP und Oracle, die ebenfalls nicht installiert sind.
Webserver-Sicherheitslücke Auswirkungen: /admin/database/wwForum.mdb: Web Wiz Forums vor 7.5 ist anfällig für Cross-Site-Scripting-Angriffe. Standard-Login/Passwort ist Administrator/letmein Risikofaktor: Mittel/CVSS2-Basiswert: 4,0
Es gibt mehrere Fehler wie diesen, die mir sagen, dass Web Wiz Forums, Alan Ward A-Cart 2.0, IlohaMail usw. alle anfällig sind. Diese sind nirgends installiert oder referenziert, soweit ich es finden kann.
Es gibt sogar Verweise auf Seiten, die einfach nicht existieren, wie beispielsweise OpenAutoClassifieds.
Kann mir jemand sagen, warum diese Fehler auftreten oder wo ich nach diesen Komponenten suchen kann, wenn sie tatsächlich installiert sind?
Hinweis: Diese Website und dieser Server sind für eine Subdomain der Hauptwebsite. Die Hauptwebsite läuft auf einem Server, auf dem Apache/PHP läuft, aber ich habe keinen Zugriff auf diesen Server. Der Bericht besagt, dass die Subdomain die gescannte Site war, aber ist es möglich, dass sie auch die Hauptsite gescannt hat?
Antwort1
Kurze Antwort: Das wäre es nicht.
Lange Antwort: Eines von drei Dingen ist passiert:
Ihr Prüfer hat die falsche Maschine gescannt, wie @HopelessN00b sagte.
(das ist das wahrscheinlichste Szenario – Sie sagen, die PCI-Site ist eine Subdomain und die Site darüber befindet sich auf einer Apache/PHP-Site, also ist es durchaus möglich, dass sie diese Site gescannt und die aufgelisteten Schwachstellen gefunden haben)Ihr Computer wurde in aller Eile kompromittiert.
(Ja, das passiert auch – aber wenn Sie den Computer überprüft und festgestellt haben, dass die Prüfergebnisse ungültig sind, können wir das meiner Meinung nach ausschließen.)Ihr Sicherheitsprüfer ist ein Idiot
(Stellen Sie diesen Kerl nicht ein!)
Da #1 aufgrund Ihrer Angaben am wahrscheinlichsten ist, finden Sie heraus, welcher Rechner (HostnameUndÜberprüfen Sie, ob die vom Prüfer gescannte IP-Adresse die richtige Maschine ist, und lassen Sie den Scan ggf. wiederholen.
Überprüfen Sie diese Schwachstellen auch selbst auf dem Hauptserver (und lassen Sie sie, wenn sie tatsächlich gültig sind, von den Verantwortlichen beheben). Dies sind relativ schwerwiegende Probleme, und obwohl es (und tatsächlich nach PCI-Standards)muss) Trennung zwischen der Karteninhaberdatenausrüstung und Ihren anderen Websites. Wenn Sie diese nicht beheben, werden bei Ihrer Prüfung weiterhin Warnsignale auftauchen.
(Wenn Ihre Hauptwebsite bei einem Shared-Hosting-Anbieter liegt, der all diese Dinge betreibt, sollten Sie zu Ihrer eigenen Sicherheit in Erwägung ziehen, sie auf eine dedizierte Box oder einen VPS zu verschieben.)