Falha de PCI devido à Detecção de Proxy Reverso HTTP

2

Usamos Security Metrics para nossas varreduras de conformidade com PCI. Não tivemos nenhum problema no passado, mas a nossa análise mais recente diz que falhamos devido a "Detecção de Proxy Reverso HTTP". Eu estou supondo que isso tem a ver com ativos estáticos ou a maneira como heroku trafega nos bastidores. De qualquer forma, não tenho certeza para onde ir. Fiz algumas pesquisas e não consigo encontrar nada. O apoio do Heroku foi inútil.

Estamos usando o Rails 4 no Ruby 2. Veja abaixo todos os erros reportados das Métricas de Segurança. Qualquer ajuda seria apreciada.

TCP 443 https 5.8 Description: HTTP Reverse Proxy Detection Synopsis: A transparent or reverse HTTP proxy is running on this port. Impact: This web server is reachable through a reverse HTTP proxy. Data Received: The GET method revealed those proxies on the way to this web server : HTTP/1.1 vegur Resolution: n/a Risk Factor: Medium/ CVSS2 Base Score: 5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N) CVE: CVE-2004-2320 Additional CVEs: CVE-2007-3008 CVE-2005-3498 CVE-2005-3398

TCP 80 http 5.8 Description: HTTP Reverse Proxy Detection Synopsis: A transparent or reverse HTTP proxy is running on this port. Impact: This web server is reachable through a reverse HTTP proxy. Data Received: The GET method revealed those proxies on the way to this web server : HTTP/1.1 vegur Resolution: n/a Risk Factor: Medium/ CVSS2 Base Score: 5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N) CVE: CVE-2004-2320 Additional CVEs: CVE-2007-3008 CVE-2005-3498 CVE-2005-3398

    
por Adam 29.10.2014 / 20:40

1 resposta

1

Por favor, leia os boletins CVE citados.

O risco basicamente se resume a: "o método HTTP TRACE está ativado" .

Attackers may abuse HTTP TRACE functionality to gain access to information in HTTP headers such as cookies and authentication data. In the presence of other cross-domain vulnerabilities in web browsers, sensitive header information could be read from any domains that support the HTTP TRACE method.

fonte: CERT

Para resolver isso, basta desativar o método HTTP TRACE.

Para Heroku, por exemplo: link

    
por 31.10.2014 / 10:43