Любой авторитетный консультант должен четко указать в своем отчете, что именно представляет собой риск и как он воспроизводится. Я ожидаю увидеть документированную методологию, выводы и выводы.
Если они не могут продемонстрировать риск, то не могут сказать, что нашли его.
UPDATE:
На основании вашего комментария я нашел следующее, которое идентифицирует это как общую уязвимость веб-сервера Apache, а не как ваш конкретный код. Вы должны спросить, кто бы ни управлял вашим веб-хостингом, прокомментировать.
Ошибка в обработке недопустимых заголовков Expect. Если злоумышленник может повлиять на заголовок Expect, который жертва отправляет на целевой сайт, он может выполнить межсайтовую скриптовую атаку. Известно, что некоторые версии Flash могут устанавливать произвольный заголовок Expect, который может вызвать этот недостаток. Не помечен как проблема безопасности для 2.0 или 2.2, так как межсайтовый скриптинг возвращается жертве только после истечения времени ожидания соединения сервером.
ОБНОВЛЕНИЕ 2:
Ниже приведено описание уязвимости ( ссылка ). Попросите ваших хостинг-провайдеров проверить, что их серверы исправлены.
В мае 2006 года репортер обнаружил ошибку в Apache, из-за которой отправлялся неверный заголовок Expect.
на сервер (Apache 1.3.3 и выше) будет возвращен пользователю в случае ошибки
сообщение, не покинуло. Это может позволить межсайтовый скриптинг, только если
жертва может быть обманом подключена к сайту и отправлена
созданный заголовок Expect. Браузеры висты не предоставляют такой функциональности, это было
недавно обнаружил, что Flash позволяет установить соединение с произвольным
заголовки. Следовательно, механизм атаки:
- Пользователь обманут, посетив вредоносный веб-сайт с помощью браузера с поддержкой флэш-памяти
- Вредоносный веб-сайт использует флэш-фильм для подключения к целевому сайту.
с пользовательским заголовком Expect
- Это приводит к межсайтовому скриптингу (злоумышленник может украсть ваши куки из
сторонний сайт или добавить контент и т. д.)