監査会社は、PCIに準拠していないと述べましたが、問題を解決する方法について役に立たない指示を提供しました。彼らは明らかに、私たちが彼らのコンサルティングユニットに従事することを望んでいます。
PCIコンプライアンス監査アラートを受信した後、ギャップを埋めるためにどのリソース/サービスを使用しましたか?
PCIコンプライアンスの問題を解決するのに役立つリソースを提供するWebサイトはありますか?
たとえば、フラグが立てられた不可解な失敗メッセージの1つを次に示します。
「説明:URLXのカテゴリパラメータにクロスサイトスクリプティングの脆弱性があります」
しかし、この脆弱性を閉じる方法についての明確なガイダンスはありません。
ありがとう。
彼らはどのURLが脆弱性を引き起こしているのか、それとも文字通り「X」であると言ったのでしょうか?
ユーザー入力、またはURLから取得されている入力が、適切にサニタイズされていない状態でページのどこにも表示されていない(またはJavaScriptで使用されていない)ことを確認してください。
あなたがURLを投稿すれば、ここの人々はこの脆弱性を喜んで探してくれるでしょう。
[URLを投稿してから編集:]
脆弱性を表示する不正な形式のリクエストへのリンクは次のとおりです。
この攻撃を防ぐ方法は、すべてのユーザー入力を検証することです。
クライアント側では、<>'"のような疑わしい文字を削除できます-
サーバー側では、データベースに入力する前に、正規表現を使用して有効なクエリをホワイトリストに登録する必要があります。