针对PCI合规性的资源/服务?修复“类别参数中的跨站点脚本漏洞”漏洞?
针对PCI合规性的资源/服务?修复“类别参数中的跨站点脚本漏洞”漏洞?
提问于 2011-05-27 03:12:56
一家审计公司表示,我们不符合PCI标准,但对如何解决这些问题提供了无用的说明。他们显然希望我们能让他们的咨询小组参与进来。
在收到PCI合规性审核警报后,您使用了哪些资源/服务来填补差距?
是否有网站提供有关解决PCI合规性问题的有用资源?
例如,下面是我们标记的一条隐秘的失败消息:
“说明: URL X的类别参数中存在跨站点脚本漏洞”
但是没有关于如何关闭该漏洞的明确指导。
谢谢。
回答 1
Stack Overflow用户
回答已采纳
发布于 2011-05-27 03:54:13
他们有没有说是哪个URL导致了漏洞,或者是字面上的"X"?
检查以确保用户输入或从URL抓取的输入没有在页面上的任何位置显示(或在javascript中使用),而没有经过适当的消毒。
如果你发布了URL,我相信这里的人们会很乐意寻找这个漏洞。
在发布URL后进行编辑:
以下是显示漏洞的错误请求的链接:
http://www.cengraving.com/s/category?category=Outdoor+signs+'-'alert("Cross%20Site%20Scripting%20Vulnerability%20Here");
防止这种攻击的一种方法是验证所有用户输入。
客户端您可以删除任何可疑字符,如<>'"-
在服务器端,在将有效查询输入到数据库之前,您应该使用regex将有效查询列入白名单。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/6143816
复制相关文章
相似问题
腾讯云开发者
