在CentOS LAMP盒子上,PCI符合性扫描失败:
Apache Shiro URI Path Security Traversal Information Disclosure http/80 据我可以告诉服务器没有Shiro安装,除非它内置到Apache。 我找不到从shiro和shiro.inisearch服务器的任何痕迹。
什么可能导致扫描仪相信Shiro被安装并可能是脆弱的? Server头或ServerSignature没有公开内容。
如果报告没有提供这些信息,请详细询问什么请求和响应触发了检测。 如果没有能够指出扫描仪的检测逻辑中的缺陷是什么,这很难说明是假的,尽pipe很明显这是一个误报,因为Shiro没有运行。
大多数情况下,这种误报意味着Web服务器发送的响应并不是扫描程序所期望的 – 也许您的系统在扫描程序认为应该发送404时发送的响应代码为200或30X ,或者也许在自定义错误文档的内容中,扫描器认为它已经成功地从遍历中获得了信息。