PCI check failing

3

Un cliente ha recibido una verificación de cumplimiento de PCI fallida con el fallo aparentemente causado por una extensión que desarrollo. El escenario es que la extensión sirve el contenido de la página web, pero una cadena en particular se reemplaza en el lado del servidor HTML de las páginas con el contenido de una cookie. Esto está marcando un problema de seguridad en la verificación de cumplimiento a pesar de que el contenido de la cookie se está pasando a través de la función de PHP htmlspecialchars() . Con la cookie eliminada por completo el cheque pasa. Lo extraño es que el mismo cheque pasa en otro sitio web usando exactamente la misma extensión pero con la cookie presente.

¿Qué me he perdido?

EDITAR: para dar un poco más de detalle según la solicitud en el comentario, el valor se genera en HTML, y el error exacto que se muestra en el informe es el siguiente:

Affected URL:
http://www.somestore.com/somepage.html Affected Variable: cookie_name Injected
text:
PmTmLZjuQsTQRb1U;SecurityMetrics_xss_in_element_event=88bdc4bc6f8451350
a8dbc5753b48066661972c446c248ef44c94800554c44cd// Variation ID:
%3Cbutton%20type=%22button%22%20title=%22Add%20to%20Basket%22%20
class=%22button%20btnCVSS
10.00
FAIL
Port
80
Protocol
TCP
Service
http
Title
Cross-Site Scripting in event tag of HTML element
cart%22%20onclick=%22setLocation('http://www.somestore.com/checkout/cart/add/ue
nc/aHR0cDovL3d3dy5lY3V2YS5jb20vZGFpbHktbGl2aW5nLmh0bWw_bW9kZT1saX
N0JTIzJTVFJTI4JTI0JTIxJTQwJTI0JTI5JTI4JTI4JTI5JTI5JTI5JTJBJTJBJTJBJTJBJTJBJTJB/pro
duct/2577/form_key/PmTmLZjuQsTQRb1U;SecurityMetrics_xss_in_element_event=
88bdc4bc6f8451350a8dbc5753b48066661972c446c248ef44c94800554c44cd///')
%22%3E%3Cspan%3E%3Cspan%3EAdd%20to%20Basket%3C/span%3E%3C/span
%3E%3C/button%3E
    
pregunta Jonathan Hussey 02.03.2016 - 11:08
fuente

1 respuesta

1

Es probable que su cliente esté tratando de calificar para la certificación SAQ A de PCI, pero su extensión requeriría que usen SAQ A-EP. Consulte el documento de guía aquí .

Específicamente el quinto requisito para A-EP:

  

Cada elemento de las páginas de pago entregadas al navegador del consumidor se origina en cualquiera de   El sitio web del comerciante o un proveedor (es) de servicio compatible con PCI DSS

Esto contrasta con lo que se requiere para SAQ A, que requiere que todo sea subcontratado.

Esta página contiene más detalles sobre lo que significa esta diferencia (énfasis mío):

  

SAQ A:

     
  • El sitio web del comerciante está completamente alojado y administrado por un procesador de pagos de terceros compatible con PCI, O
  •   
  • El sitio web del comerciante proporciona un iframe o una URL que redirige a un consumidor a un procesador de pagos de terceros compatible con PCI, donde no   los elementos de la página se originan en el sitio web del comerciante .
  •   

SAQ A-EP:

     
  • El sitio web del comerciante crea un formulario de pago y datos de pago de "publicaciones directas" a un procesador de pagos de terceros compatible con PCI, O
  •   
  • El sitio web del comerciante proporciona un iframe o URL que redirige a un consumidor a un procesador de pagos de terceros compatible con PCI, PERO algunos   Los elementos de la página de pago se originan en el sitio web del comerciante.   (Los elementos serían JavaScript, CSS o cualquier funcionalidad que soporte   cómo se crea la página de pago.)
  •   

Es probable que su otro cliente ya esté bajo A-EP, por lo que su extensión no representa un problema para ellos.

    
respondido por el Bobson 09.03.2016 - 23:06
fuente

Lea otras preguntas en las etiquetas