服务器是运行默认LAMP栈的CentOS盒子。 PCI扫描将此列为失败: SSL Certificate Cannot Be Trusted https (443/tcp) Severity: Medium Notes: none 我们实际上并没有SSL证书,我们也没有试图在这个盒子上使用SSL。 这只是closures端口443的情况吗? 如果是这样的话,最好的办法是Apache conf? 更新 我已经把/etc/httpd/conf.d/ssl.conf Listen 443注释掉了,443现在似乎已经closures了。 如果有人有任何批评等,请张贴…
有谁知道如果Rails 3.0通过PCI合规性扫描?
是否有可能阻止IISlogging指定types的数据(即信用卡数据)? 我的意思是我可以对IIS说; – 如果search到一个信用卡号码,不要login,或不要logging所有的信用卡号码(掩盖它)。 或者有可能encryptioniis日志? 提前致谢
我们正试图在我们的一些网站上通过PCI合规。 在外部扫描之后,我们仍然有这个漏洞: 简介:远程Web服务器受到信息泄露漏洞的影响。 说明:远程主机似乎正在运行IIS的一个版本,允许远程用户确定哪些validationscheme是机密网页所必需的。 也就是说,通过使用故意无效的证书请求有效的网页,您可以确定validationscheme是否正在使用中。 这可以用于对已知USerID的暴力攻击。 我们如何在IIS中对此进行补救? 谢谢
我们正在build立一个符合PCI标准的基础架构,其中大部分应用程序都在不含敏感信息的DMZ(非军事区)中运行。 包含敏感信息的部分被保护在私有子网中。 我们有两个问题。 首先是进入的一些请求将包含敏感信息。 我们的解决scheme是在安全networking中创build反向代理(不在DMZ中 – 因此代理将受审计),将请求路由到DMZ或安全专用子网。 如果请求进入安全networking,则安全networking将存储敏感信息,然后将请求路由到DMZ,而没有该信息继续处理。 如果我们这样做,DMZ是否能够通过代理向用户返回响应? 问题在于代理将面向公众。 它不会存储敏感信息,但它们会通过它,因此,它将受到审计和安全。 第二个问题是我们有一个特定的文件,需要从PCI兼容服务器提供。 由于我们的兼容服务器是在一个专用networking中,我们怎么做到这一点? 我们应该创build一个面向公众的小型服务器来提供这个文件吗? 什么是这个问题的其他解决scheme? 谢谢,
我们的漏洞扫描器(基于Saint)声称大量设备和服务器容易受到SSL / TLS重新协商缺陷(CVE-2009-3555)的影响。 这些服务器和设备中的大多数在补丁/固件上是相当新的。 由于这个问题已经有5年多了,我怀疑这个问题主要是误报。 为了validation,我跑了这个: openssl s_client -connect xxxx:443 <snip> GET / HTTP/1.1 R RENEGOTIATING depth=0 CN = XXXX, L = Utopia, ST = UU, C = US, O = Acme, OU = IT verify error:num=18:self signed certificate verify return:1 depth=0 CN = XXXX, L = Utopia, ST = UU, C = US, O […]
我一直在试图找出一种方法来跟踪openvz容器中的用户活动很长一段时间(在KVM中进行审核)。 这是一个PCI-DSS要求。 我似乎无法find任何好的select。 我希望有人在PCI-DSS环境中使用openvz,可以借给我一些知识。
我有问题得到一个Windows Server 2012 R2 64位盒locking。 我使用了一个名为IISCrypto的工具来使FIPS 140兼容。 我已经手动检查registry项,所有弱密码看起来被禁用,但Retinanetworking扫描仪社区仍然报告IIS支持弱密码( Enabled=0 )。 当我运行SSLScan,我得到以下内容: 在port 443上testingSSL服务器127.0.0.1支持的服务器密码: Failed SSLv2 168 bits DES-CBC3-MD5 Failed SSLv2 56 bits DES-CBC-MD5 Failed SSLv2 128 bits IDEA-CBC-MD5 Failed SSLv2 40 bits EXP-RC2-CBC-MD5 Failed SSLv2 128 bits RC2-CBC-MD5 Failed SSLv2 40 bits EXP-RC4-MD5 Failed SSLv2 128 bits RC4-MD5 Failed SSLv3 256 bits ADH-AES256-SHA Failed SSLv3 […]
我试图设置我的系统在10天后locking非活动用户。 我正在使用CentOS 6.x,看RHEL手册,这是我发现: To lock out an account after 10 days of inactivity, add, as root, the following line to the auth section of the /etc/pam.d/login file: auth required pam_lastlog.so inactive=10 所以,这是我的/etc/pam.d/login: #%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth include system-auth auth required pam_lastlog.so inactive=10 account required pam_nologin.so account include system-auth password include system-auth […]
我正在处理由PCI-DSS扫描器报告的漏洞,其中一个对我来说是新的: 标题 防火墙UDP数据包源端口53规则集旁路 概要: 防火墙规则集可以被绕过。 影响: 通过发送源端口号为53的UDP数据包,可以绕过远程防火墙的规则。攻击者可以使用这个漏洞将UDP数据包注入远程主机,尽pipe存在防火墙。 也可以看看 : http://archives.neohapsis.com/archives/fulldisclosure/2003-q2/0352.html http://www.nessus.org/u?4368bb37 第一个链接的文章给出了exploit命令的certificate, nmap -v -P0 -sU -p 1900 ${IP} -g 53 ,如果源端口是nmap -v -P0 -sU -p 1900 ${IP} -g 53 ,它实际上会返回一个56字节的数据包。但为什么呢? 在这个例子中,它报告端口1900是“closures的”,但是返回了一个56字节的回复。 相比之下,端口1900与UDP源端口123(也是打开的)的请求返回0字节。 # # Source port 53: # $ sudo nmap -v -P0 -sU -p 1900 ${IP} -g 53 Starting Nmap 6.47 ( http://nmap.org […]