Назад | Перейти на главную страницу

Соответствие PCI Apache Shiro не удалось

В системе CentOS LAMP сканирование соответствия PCI не выполняется:

Apache Shiro URI Path Security Traversal Information Disclosure http/80

Насколько я могу судить, на сервере не установлен Shiro, если он не встроен в Apache. Я не могу найти никаких следов при поиске на сервере shiro и shiro.ini.

Что могло заставить сканер поверить, что Широ установлен и потенциально уязвим? Ничего не раскрыто в Server заголовок или ServerSignature.

Если отчет не предоставил информацию, запросите подробную информацию о том, какой именно запрос и ответ инициировали обнаружение. Трудно показать, что это ложное срабатывание, не имея возможности точно указать, в чем заключается недостаток в логике обнаружения сканера - хотя довольно ясно, что это ложное срабатывание, поскольку Широ не работает.

Чаще всего этот вид ложного срабатывания означает, что ответ, отправленный веб-сервером, не совсем ожидаемый сканером - возможно, ваша система отправляет код ответа 200 или 30X когда сканер думает, что он должен отправить 404, или, возможно, что-то в содержимом настраиваемого документа об ошибке заставило сканер думать, что он успешно получил информацию в результате обхода.