CGI の一般的なクロスサイトリクエスト偽造の検出(潜在的)
medium Nessus プラグイン ID 56818
Language:
概要
リモート Web サーバーが、クロスサイトリクエスト偽造攻撃に対して脆弱である可能性があります。説明
Nessus はリモート Web サーバー上の HTML フォームを見つけました。一部の CGI スクリプトは、一般的なアンチクロスサイトリクエスト偽造(XSRF)保護であるランダムトークンによって保護されないようです。Web アプリケーションは XSRF 攻撃に対して脆弱である可能性があります。注意:- Nessus はこの欠陥を悪用しませんでした。
- Nessus は、機密性の高いアクションを特定できません。例えばオンラインバンクでは、口座の照会は送金よりも機密性が低いと言えます。
CGI スクリプトのソースを監査し、実際に影響を受けるかどうかを確認する必要があります。
ソリューション
クロスサイトリクエスト偽造に対して脆弱なアプリケーションへのアクセスを制限してください。パッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
プラグインの詳細
深刻度: Medium
ID: 56818
ファイル名: pci_dss_potential_xsrf.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2011/11/17
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
脆弱性情報
必要な KB アイテム: Settings/PCI_DSS