Líbí se mi ty jeho odhady, jak by to mělo být hodnoceno a že útočníka nepůjde odhalit, protože … všechny jeho kroky jsou někde zalogované, ale bude těžké najít korelaci? LOL.
Ten odkaz na „Based on industry standards and best practices“ v PCI DSS oddílu 6 jen ukazuje, že autor vůbec netuší, o čem píše, protože to se týká způsobu vývoje aplikací, ne jejich nasazení.
1. Prosím nevyjadřuj se k něčemu,čemu rozumíš asi tak jako koza petrželi.
2. Zajímalo by mě, jak bych chtěl najít útočníka, který provede takovou akci přes ANONYMNÍ proxy, když jediné co najdeš v logu IIS bude, že z nejakého veřejného IP této anonymní proxy NĚKDO vydeployoval aplikaci s oprávněním IIS účtu pouřitého pro ANONYMNÍ přístup z webu.
3. Bože, co prosímtě víš o PCI DSS standardu? Viděl jsi ho z vlaku nebo jsi jen někde slyšel, že to existuje?
6. Develop and maintain secure systems and applications.
SYSTEMS AND APPLICATIONS! Doufám, že víš co to znamená.
6.1 Ensure that all system components and software are protected from known vulnerabilities by
having the latest vendor-supplied security patches installed. Deploy critical patches within a
month of release.
Znovu. ALL SYSTEM COMPONENTS!
6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities.
Risk rankings should be based on industry best practices and guidelines. Ranking vulnerabilities is
a best practice that will become a requirement on July 1, 2012
K tomu už nemám co bych dodal.
Tahle zranitelnost je rozhodne znama zranitelnost a je to minimalne kategorie OWASP 2010/13/17 A.5. Security Misconfiguration.
Kromě toho nejsou velmi pravděpodobně compliant s:
2.2 Develop configuration standards for all system components. Assure that thees standards address all know security vulnerabilities and are consistent with industry-acceptes system hardening standards.
Jenže já jejich konfigurační standardy neviděl! Klidně je můžou mít v pořádku. Jen je nedodržovat.