web-dev-qa-db-ja.com

HTTPリバースプロキシ検出によるPCI障害

PCIコンプライアンススキャンにはセキュリティ指標を使用しています。過去に問題は発生していませんが、最新のスキャンでは、「HTTPリバースプロキシ検出」が原因で失敗したと報告されています。これは、静的アセットまたはherokuが舞台裏でルーティングする方法のいずれかに関係していると思います。いずれにせよ、どこに行けばいいのかよくわかりません。いくつか検索しましたが、何も見つかりません。 Herokuのサポートは役に立たなかった。

Rails 4 on Ruby 2.以下は、セキュリティメトリクスから報告されたエラー全体です。助けていただければ幸いです。

TCP 443 https 5.8説明:HTTPリバースプロキシ検出概要:透過的またはリバースHTTPプロキシがこのポートで実行されています。影響:このWebサーバーは、リバースHTTPプロキシを介して到達可能です。受信したデータ:GETメソッドにより、このWebサーバーに向かう途中のプロキシが明らかになりました:HTTP/1.1 vegur解決策:該当なしリスク要因:中/ CVSS2基本スコア:5.8(AV:N/AC:M/Au:N/C :P/I:P/A:N)CVE:CVE-2004-2320追加のCVE:CVE-2007-3008 CVE-2005-3498 CVE-2005-3398

TCP 80 http 5.8説明:HTTPリバースプロキシ検出概要:透過的またはリバースHTTPプロキシがこのポートで実行されています。影響:このWebサーバーは、リバースHTTPプロキシを介して到達可能です。受信したデータ:GETメソッドにより、このWebサーバーに向かう途中のプロキシが明らかになりました:HTTP/1.1 vegur解決策:該当なしリスク要因:中/ CVSS2基本スコア:5.8(AV:N/AC:M/Au:N/C :P/I:P/A:N)CVE:CVE-2004-2320追加のCVE:CVE-2007-3008 CVE-2005-3498 CVE-2005-3398

3
Adam

参照されているCVE速報をお読みください。

リスクは基本的に次のように要約されます: "HTTP TRACEメソッドが有効になっています"

攻撃者は、HTTP TRACE機能を悪用して、Cookieや認証データなどのHTTPヘッダー内の情報にアクセスする可能性があります。 Webブラウザーに他のクロスドメインの脆弱性が存在する場合、HTTPTRACEメソッドをサポートする任意のドメインから機密ヘッダー情報を読み取る可能性があります。

ソース: [〜#〜] cert [〜#〜]

これを解決するには、HTTPTRACEメソッドを無効にする必要があります。

Herokuについては、たとえば次を参照してください: https://stackoverflow.com/questions/17473760/disabled-http-methods-on-herok

1
HBruijn