CGI 一般跨網站要求偽造偵測 (潛在)
medium Nessus Plugin ID 56818
語系:
概要
遠端 Web 伺服器可能容易遭受多個跨網站要求偽造攻擊。說明
Nessus 已在遠端 Web 伺服器上發現 HTML 表單。某些 CGI 指令碼似乎不受隨機權杖保護,此權杖是一種常見的防跨網站要求偽造 (XSRF) 保護。Web 應用程式可能容易遭受 XSRF 攻擊。請注意:- Nessus 並未利用此缺陷。
- Nessus 無法識別敏感動作;例如,在網路銀行上,諮詢帳戶的敏感度不如轉帳。
您將需要稽核 CGI 指令碼的來源,並檢查其是否確實受到影響。
解決方案
限制存取容易受到跨網站要求偽造影響的應用程式。請連絡供應商取得修補程式或升級版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 56818
檔案名稱: pci_dss_potential_xsrf.nasl
版本: 1.11
類型: remote
系列: CGI abuses
已發布: 2011/11/17
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 6.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS v3
風險因素: Medium
基本分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
弱點資訊
必要的 KB 項目: Settings/PCI_DSS