Недавно было запущено сканирование PCI на веб-сервере, и результатом был сбой. Некоторые из проблем можно было исправить, однако другие просто не имеют для меня смысла.
Машина была установлена чисто, на ней были запущены только две вещи: веб-сайт .NET 3.5 и брандмауэр веб-приложений dotDefender.
Однако есть несколько ошибок, похожих на:
Уязвимость веб-сервера Влияние: /servlet/SessionServlet: обнаружен сервлет JRun или Netware WebSphere по умолчанию. Весь код по умолчанию должен быть удален с серверов. Фактор риска: Средний/ CVSS2 Базовая оценка: 6,4 CVE: CVE-2000-0539
Я не уверен, что это такое, но на сервере я не могу найти ничего похожего.
Уязвимость веб-сервера Влияние: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP раскрывает потенциально конфиденциальную информацию через определенные HTTP-запросы, содержащие определенные строки QUERY. Фактор риска: Средний/ Базовая оценка CVSS2: 5,0
PHP не установлен. Попытка добавить эту строку запроса на любую страницу ничего не дает, потому что приложение ее игнорирует. А выполнение этой phpVersion
проверки приводит к 404. Аналогично этому, есть десятки ошибок, связанных с JSP и Oracle, которые также не установлены.
Уязвимость веб-сервера Влияние: /admin/database/wwForum.mdb: Форумы Web Wiz версии до 7.5 уязвимы к атакам Cross-Site Scripting. Логин/пароль по умолчанию — Administrator/letmein Фактор риска: Средний/ Базовая оценка CVSS2: 4.0
Есть несколько ошибок, подобных этой, которые говорят мне, что Web Wiz Forums, Alan Ward A-Cart 2.0, IlohaMail и т. д. уязвимы. Они не установлены и не упоминаются нигде, где я могу их найти.
Есть даже ссылки на страницы, которые просто не существуют, например OpenAutoClassifieds.
Может ли кто-нибудь указать мне правильное направление относительно того, почему появляются эти ошибки или где я могу найти эти компоненты, если они действительно установлены?
Примечание: Этот веб-сайт и сервер находятся на поддомене основного веб-сайта. Основной веб-сайт работает на сервере, на котором запущен Apache/PHP, но у меня нет доступа к этому серверу. В отчете говорится, что поддомен был сканируемым сайтом, но возможно ли, что он также сканировал основной сайт?
решение1
Короткий ответ: нет.
Развернутый ответ: произошло одно из трех:
Ваш аудитор просканировал не ту машину, как и сказал @HopelessN00b.
(Это наиболее вероятный сценарий — вы говорите, что сайт PCI является поддоменом, а сайт над ним находится на сайте Apache/PHP, поэтому вполне возможно, что они просканировали этот сайт и обнаружили перечисленные ими уязвимости)Ваш компьютер был взломан в спешке.
(Да, такое тоже случается — хотя, если вы проверили компьютер и обнаружили, что результаты аудита недействительны, я думаю, мы можем это исключить.)Ваш аудитор безопасности — идиот
(Не нанимайте этого парня!)
Поскольку, исходя из того, что вы нам рассказали, вариант №1 является наиболее вероятным, выясните, какая машина (имя хостаиIP-адрес) просканировал аудитор, подтвердите, что это нужный компьютер, и если это не так, повторите сканирование.
Также проверьте эти уязвимости на главном сервере самостоятельно (и если они действительно действительны, заставьте ответственных лиц исправить их). Это относительно серьезные проблемы, и хотя они могут (и фактически по стандартам PCIдолжен) разделение оборудования для обработки данных держателей карт и других сайтов приведет к тому, что вы продолжите получать сигналы тревоги при аудите, если не устраните их.
(Если ваш основной сайт находится на общем хостинг-провайдере, который выполняет все эти функции, вы можете рассмотреть возможность его переноса на выделенный сервер или VPS для собственного спокойствия.)