Windows Web Server 2008 R2 上的 PCI 合规性

Question

抱歉，这不是发布此内容的正确论坛，但我的想法已经不多了。我们最近购买了一台新的专用服务器（运行 Windows Web Server 2008 R2）。我们的一位客户试图获得 PCI 合规性。服务器是最新的，我们已经关闭了所有不需要的端口和漏洞。但该网站一直未能通过其中一项测试。我将粘贴失败消息：

---

标题：易受攻击的 Web 程序（新加坡） 影响：远程攻击者可以执行任意命令、创建或覆盖文件，或者查看 Web 服务器上的文件或目录。

数据发送：

GET /thumb.php?image=../data/users.csv.php%00.jpg
HTTP/1.0 Host: www.monorep.co.uk
User-Agent: Mozilla/4.0
Connection: Keep-alive

收到的数据：

And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" -->
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196

新加坡图库应用程序受到多个漏洞的影响。新加坡 0.10 及更早版本受这些漏洞影响： index.php 中的目录遍历允许对应用程序目录中的敏感文件进行未经授权的读取访问，例如包含加密密码的 users.csv.php 文件 index.php 中的跨站点脚本能力获取安装路径 Singapore 0.9.10 及更早版本均受这些漏洞影响。 thumb.php 中的目录遍历允许对应用程序目录中的敏感文件进行未经授权的读取访问，例如包含加密密码的 users.csv.php 文件 addImage 函数中的文件上传漏洞允许登录用户上传和执行 PHP 脚本目录遍历如果 Web 服务器对目录具有写入权限，则允许在 Windows 平台上删除任意目录 跨站点脚本 解决方案：升级到新加坡 0.10.1 或更高版本（如果可用）。

风险因素：高/CVSS2 基础分数：7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE：CVE-2004-1408 出价：11990 18518 其他 CVE：CVE-2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

---

我不知道这是关于什么的。我们不使用这个“新加坡”应用程序，我们根本不在服务器上运行 php。

有没有人可以提供任何关于这个的建议。如果您提供任何建议，我将非常感激。

谢谢。

Answer 1

PCI 安全扫描器是具有大型数据库的简单软件。它们旨在为保护系统提供灵感，但由人类来跟进发现的任何项目。与评估员讨论您无法解决的任何问题，并评估扫描结果是否代表您的环境中存在真正的安全风险。

也就是说，通过评估过程最省力的方法当然是基于最小的表面积和干净的安全扫描。

为了对以前从未见过的软件也有用，扫描程序会检查可疑行为而不是已知的不良软件版本。另一方面，为了给您提供实用指导，他们试图指出可疑行为可能与之相关的组件，以鼓励完全可用的安全补丁（删除、升级），而不是逐个处理检测到的错误行为。

当然，不管那是什么，你从来没有管理过新加坡。这里的问题是您的 IIS 配置似乎允许有两个问题：

• 在 HTTP 请求中允许 .. 访问已配置文件夹之外的文件
• 向网络服务器提供看起来像图像 (.jpg) 的路径，但由于路径中插入了 C++ 样式的字符串终止符（MIME 编码为 %00），最终引用的内容更加敏感。

在此处阅读有关the former issue 的更多信息。阅读here 如何打开和关闭父路径。 （在 IIS 7 中父路径默认是关闭的，如果你没有改变它，这个新加坡项目是一个完全虚假的警报。）