2. 질의 응답
  3. 보안 메트릭

보안 메트릭

2013-03-23 4 views
2

PCI 컴플라이언스의 보안 메트릭에서 검사를 실행할 때 다음과 같은 오류 메시지가 나타납니다. 누구든지이 문제를 해결하는 방법을 알고 있습니까?보안 메트릭

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server. 

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0 

Host: example.com 

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall> 

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/> 

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code execution vulnerability because the decode() function within the rpc_decoder.php script fails to adequately sanitize user-supplied input before processing it in an eval() call. 
Successful exploitation would result in arbitrary code execution in the context of the application. PHP scripts that implement the phpRPC library, such as RunCMS, are affected by this issue. RunCMS 1.1 through 1.3.a5 are affected, as is phpRPC up to 0.7. 

Resolution: phpRPC is not currently being maintained. RunCMS users should upgrade to a version higher than 1.3.a5 which will hopefully include a fix. 

Risk Factor: High/ CVSS2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2006-1032 BID: 16833 [Less]*

출처

2013-03-23 joby john

+0

감사합니다,

롭. 이미 가지고 있지 않다면, 예제에서 도메인 등을 변경하는 것이 좋습니다. –

답변

0

서버의 RPC 서비스를 공격자가 사용할 수 있기 때문에 이것은 비교적 심각한 문제입니다. 시스템의 특성을 모른 채 구체적인 수정을 제안 할 수는 없습니다. 그러나보고있는 취약점은 오래된 시스템으로 인해 발생할 가능성이 큽니다. 모든 패치를 업그레이드하고 설치해야합니다. 플랫폼이 EOL 된 경우 더 새로운 것으로 이동하십시오. The Common Vulnerability Enumeration has some specific information about the vulnerability identified by your scanner that may help you.

출처

2013-03-23 21:06:34

+0

우리는 Windows 2008 서버를 사용하고 있습니다. 이 프로젝트는 SQL Server가 포함 된 ASP .Net 4.0에 2008 R2로 백 엔드로 제공됩니다. 우리는 PHP 서버 또는 이와 유사한 것을 사용하지 않습니다. Google 광고와 관련이 있습니까? 일부 페이지에는 js 코드가 있습니다. 나는 그 라인에 주석을 달아 테스트를 시도했다. 그래도이 오류는 계속되고 있습니다. –

+0

PHP를 실행하지 않을 때이 오류를 보는 것은 이상합니다. JS (가능하면 JS를 통해 가능)에 연결할 수있는 사이트가있을 가능성이 있다고 생각하지만 코드를 주석 처리하면 오류가 사라질 것으로 예상했을 것입니다. 그것은 많은 의미를 가지지 않습니다 (나는 당신이 머리를 벽에 치고 있다고 확신합니다). 어떤 스캐너를 사용하고 있습니까? 네 사스, 망막 등? –

+0

테스트는 보안 메트릭스 –

6

이것은 비교적 오래된 질문입니다.하지만 정확히 같은 문제가 있기 때문에 이것이 답이라고 생각합니다.

보안 통계 효과적으로 내 이론이 보안 메트릭은 코드에 실행 된 있는지 확인하기 위해 문자열 uid=에 대한 응답을 확인하는 것입니다이 uid=1000(rob) gid=1000(rob) groups=...

같은 것을 반환하는 id의 리눅스 명령을 호출하려고 원격 서버. 이는 우연히 Google의 리 마케팅 태그와 일치합니다. 예 : 귀하의 질문에의 UID = 부분 : src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"

내 솔루션은 우리의 404 페이지에 완전히 구글 리 마케팅 태그를 제거, 다만 JS 또는 HTML 주석과 주석했다. 404 페이지가 (/scripts/modules/phpRPC/server.php)에 게시되어 익스플로잇을 찾으려고하는 URL로 반환되었습니다.

여러분이나 다른 사람들이이 질문에 도움이되기를 바랍니다. 당신은 인터넷에 게시하기 전에 URL 및 기타 민감한 정보를 소독해야

출처

2013-09-16 13:12:26

+0

리 마케팅 태그가있는 페이지는 404 페이지가 아니라 모든 페이지에서 발생합니다. 그들은 지금 404가 아닌 페이지에 동일한 전화를 걸려고했고 그 대신에 스캔이 그걸 선택했습니다.Security Metrics에 대해 말한 후에 나는 이러한 침투 테스트를 무시하기 위해 거짓 긍정적 인 요청을 제출해야했습니다. 그들의 응답을 기다리고 있습니다. URL이 정규 표현식과 함께 /modules/phpRPC/server.php 인 태그를 사용하지 않고 404 페이지로 리디렉션하지 않으면 ... – Ashley

+1

Nice find. 이것은 Cloudflare 세션 쿠키에도 해당됩니다. phpRPC 채널을 통해 취약한 것으로 서버에 플래그를 지정하기 위해 Controlscan과 같은 스캔/감사를 트리거하는'__cfuid = [random session hash]'를 반환합니다. 스캔 공급 업체의 정규식/논리가 단순한 각도에서 작동하고있는 것처럼 보입니다. 단지 'uid ='대신에 '# id'명령을 통해 실제로 출력되는 부분과 일치하는 문자열을 찾아야합니다. 자산 어디서나 반환됩니다. – dhaupin

관련 문제

 관련 문제