Ресурсы / услуги для соответствия PCI? Исправить уязвимость «Межсайтовый скриптинг в параметре категории»?

Question

Аудиторская фирма заявила, что мы не совместимы с PCI, но предоставила бесполезные инструкции о том, как решить проблемы. Они явно надеются, что мы привлекем их консультационную группу.

Какие ресурсы / услуги вы использовали для устранения пробелов после получения предупреждения о контроле соответствия PCI?

Существуют ли веб-сайты, которые предоставляют полезные ресурсы по решению проблем соответствия PCI?

Например, вот одно из загадочных сообщений об ошибках, на которых мы были отмечены:

"Описание: уязвимость межсайтового скриптинга в параметре категории для URL-адреса X"

Но нет четких указаний о том, как закрыть эту уязвимость.

Спасибо.

Answer 1

Они сказали, какой URL вызывает уязвимость, или это был буквально "X"?

Убедитесь, что никакие пользовательские данные или данные, извлекаемые из URL-адреса, не отображаются в любом месте страницы (или используются в вашем javascript) без надлежащей очистки.

Если вы разместите URL, я уверен, что люди здесь будут рады найти уязвимость.

[Изменить после публикации URL:]

Вот ссылка на некорректный запрос, отображающий уязвимость:

http://www.cengraving.com/s/category?category=Outdoor+signs+'-'alert("Cross%20Site%20Scripting%20Vulnerability%20Here");

Способ предотвратить эту атаку состоял бы в проверке всего пользовательского ввода.

На стороне клиента вы можете удалить любые подозрительные символы, такие как <> '"-

На стороне сервера вы должны использовать регулярные выражения для внесения в белый список допустимых запросов, прежде чем вводить их в свою базу данных.