問題タブ [pci-compliance]

We recently had a 3rd party auditor perform a penetration test on our MS 2008 webserver that uncovered remote OS detection vulnerability. It detected the OS as well as version of IIS.

The Auditors recommended: "if Possible, configure the web server so that it does not present identifiable information in the banners"

I've done quite a bit of research and I could not find any easy way that will allow me to quickly block this information from being detected.

Does anyone know of any way to do this? Is this something that needs to be configured/denied on the server level or web application level within the code?

expose_php = Onphp.iniに含めることはセキュリティの問題であり、そのためPCIに準拠していないとのアドバイスを受けました。

これまでの私の調査では、オフにすることはリスクが低く、ヘッダーでPHPバージョンを返送することを本質的に停止することが示唆されていますが、この変更の背後にある問題が発生する可能性があるかどうか疑問に思っています。

私が考えている潜在的な問題は、PHPのバージョンを実行していることを示すヘッダーで応答することを期待するサードパーティのサービス（支払いプロバイダー、電子メール追跡システム、ビデオストリーミングAPI）です。

これはシームレスな変更である必要がありますか、それとも問題が発生する可能性がありますか？

サーバーを PCI 準拠にしようとしています。修正する必要がある最後の問題の 1 つは、INode を Apache ETag ヘッダーから削除することです。そこで、httpd.conf で次の行を定義しました: "FileETag MTime Size" はMTimeとSizeのみを返します。

この修正により、標準ポート 80 の問題が解決されました。

現在、ホスト コントロール パネル (ISPConfig3) をポート 8000 で実行しています。PCI コンプライアンス テストを実行した後、次のエラーが発生しました。

Apache ETag ヘッダーが inode 番号を開示する 重大度: 潜在的な問題 CVE: CVE-2003-1418 影響: リモートの攻撃者がサーバー上の inode 番号を特定する可能性があります。解決策 http://httpd.apache.org/docs/2.2/mod/core.html#FileETag FileETag ディレクティブを使用して、ETag の計算から INode コンポーネントを削除します。たとえば、次の行を Apache 構成ファイルに配置して、ファイルの変更時間とサイズのみに基づいて ETag を計算します: FileETag MTime Size Vulnerability Details: Service: 8000:TCP

ポート 8000 で実行されているすべてのアプリケーションにFileETagを適用するには、httpd.conf に何かを追加する必要があると思います。

どうすればいいのかアドバイスお願いします。

ありがとうございました！ケルビン

PCI DSS 基準は、電話による小切手のみを扱うプロバイダーに適用されますか?

つまり収集

1) 口座番号 2) ルーティング番号 3) 小切手番号

言い換えれば - クレジットカードなし

ありがとう

ColdFusionには予測可能なCFIDがあるため、PCIスキャンに失敗しています。取得する正確なFAILは、「予測可能なCookieセッションID」です。CFTOKENにUUIDを使用するようにCFを構成したため、CFTOKENは予測できなくなりましたが、CFIDは予測可能であり、CFAdminの変更による影響を受けません。

CFIDが予測可能であることが脅威である理由はよくわかりませんが、彼らは私たちにそれを修正してほしいと望んでいます。

私はグーゲルでこの問題について何も見つけることができず、他に何をすべきか本当にわかりません。

他の誰かがこのようなことを扱ったことがありますか？助言がありますか？

編集：これが私のApplication.cfcファイルがどのように見えるかです：

そして私のCF管理者は次のようになります：http：//i.imgur.com/k9OZH.png

では、どうすればCFIDを無効にできますか？

私は新しいクライアントとのプロジェクトに取り組んでいますが、ビジネスの種類が原因で、オンライン支払いを処理するためのマーチャント アカウントを取得するのに問題がありました。このシステムは、Just Eat/Expedia などと同じように機能し、顧客がサイトで注文してから会場に渡され、サイトが手数料を取ります。

クライアントは、顧客の支払いの詳細をデータベースに (暗号化して) 保存し、それを会場に渡して、社内のカード システムを使用して処理できるかどうかを尋ねました。これには PCI コンプライアンスの問題があることは承知していますが、何をする必要があるかについて正確な回答を得ることができませんでした。私はいくつかのホスティング会社と話をしましたが、ある会社は別の Web サーバーとデータベース サーバーを備えたクラスターが必要だと言っていますが、別の会社はそうしないと言っていました。私はこれまでにこのようなことをしたことがありません。通常は、SagePay などの誰かに支払い処理を委託するだけです。

提案された支払いフローは次のとおりです。

• お客様がウェブサイトで注文する
• 支払いの詳細はデータベースに保存されます
• 顧客に注文確認メールが送信されます。会場には注文通知がメールで送信されます。会場が注文を受け入れると、注文と支払いの詳細が社内のオフライン処理のために送信されます
• 会場が社内で支払いを行うと、注文が確認され、支払いの詳細がサイトのデータベースから削除されます
• お客様に最終注文確認メールが送信されます

私はすべてのプロセスが正しいことを確認したいと思っています。私が望んでいるのは、サイトが攻撃され、支払いの詳細が盗まれ、損失の責任を負わされることです!

アドバイスをいただければ幸いです。

このエラーが発生しています

私はそれを置くことを知っています

Web構成でこれを行うことができますが、これはPCI準拠ではなく、単に私の問題にパッチを当てているだけです. それを回避する方法はありますか？

OS X 10.7.4 上の openssh の既存のバージョンは SSH-2.0-OpenSSH_5.6 であり、残念ながら PCI 準拠ではありません。そのため、アップグレードする必要があり、Homebrew でアップグレードしようとしています。

これまでのところ、私がやったことは次のとおりです。

問題ありません。すべてうまくいきました。試してみると、次のwhich sshようになります。

これは問題ないようですが、次のようにもwhich sshdなります:

そしてssh -v正式に報告します：

ここまでは順調ですね。しかし、ここで私は私の要素から外れています。ポート 22 はまだ OS がインストールされているバージョンを使用しています。つまり、次のようにtelnet hostname 22報告されます。

/System/Library/LaunchDaemons/ssh.plist をいじってみましたが、うまくいきませんでした。

したがって、私の質問は次のとおりです（おそらく重要度の逆順です）：

1. openssh の Homebrew インストールをポート 22 でリッスンするようにするにはどうすればよいですか?
2. その場合、OS X や他のソフトウェアと競合することはありますか?
3. そもそも私がこれについて行っている方法は合理的なものですか？
4. 私は自分がどうあるべきかを考えていませんか？
5. これは最初からひどい考えですか？

PCI コンプライアンス スキャンに合格しないことに不満を感じており、これを把握する必要があります。率直に言って、サーバー上のすべての e コマース Web サイトを strip.com に変更することを検討していますが、これを把握したいと考えています。 . また、Mountain Lion で openssh がアップグレードされるかどうか知っている人はいますか?

編集: /System/Library/LaunchDaemons/ssh.plist で試したことは次のとおりです。

私は1行だけ編集し、次のように変更しました:

に

そして、sudo kill -HUP 1以下の @the-paul の提案に従って、Mac を再起動してみました。

リモートから Telnet 接続しても表示されるSSH-2.0-OpenSSH_5.6

私の ssh.plist ファイル全体は次のようになりました: http://pastie.org/private/qnhofuxomawjdypp9wgaq

私たちは、クライアントが顧客の取引やレポートを確認するための基本的なユーザーインターフェイスである管理Webサイトを持っています。これは、TelerikMVCコントロールを使用してASP.netMVC3で開発されています。当社の製品の主な要点はWebサービスです。PCIに準拠することを検討しています。Webサイトでの認証はまったく安全ではなく、カスタムメンバーシップやフォーム認証はありません。ハッシュ化されたパスワードはデータベースに保存されます。ユーザー認証を行うために使用できる、すぐに使用できるサードパーティの「PCI準拠」ライブラリがあるかどうかを確認したかったのですが。そうでない場合、メンバーシップ内でPCIコンプライアンスを達成するための最良の方法は何ですか？

また、現在、WebサイトとWebサービスの両方のロギングにオープンソースのlog4netを使用しています。PCIに準拠した他の「ロギング」ソリューションはありますか？ロギングを製品レベルとネットワークレベルの両方で使用できるのが最善です。

すべての助けに感謝します。

ありがとう、SDD

PCI コンプライアンス チームから、「詳細なレポート」がオンになっているために失敗したと通知されました。これは今まで聞いたことがありません。IIS6 サーバーがあります。クリスタルレポートなどは実行していません。詳細レポートと呼ばれる II6 のアイテムが見つかりません。詳細レポートとは何か、さらに重要なことにそれらをオフにする方法を知っている人はいますか?