Netsparker Standard如何生成PCI DSS符合性报告

PCI DSS符合性报告

PCI合规性报告可帮助您的组织达到支付卡行业数据安全标准(PCI DSS)。

  • 主要的卡方案在2004年为PCI DSS建立了这套安全标准,并且定期进行更新。如果您的组织依靠信用卡和/或借记卡付款,则严格遵守这些规则。借助Netsparker的PCI DSS符合性报告,您可以轻松查看哪些漏洞和问题违反了标准。

  • PCI DSS报告包含所有技术细节,因此主要满足开发人员和IT人员的需求。该报告主要介绍了总体安全状况。

为了能够在Netsparker Enterprise中生成批准的PCI DSS报告,您必须首先 运行PCI DSS扫描。
您可以将Netsparker Standard配置为执行PCI DSS扫描,但是其报告并不构成正式报告。
Netsparker Enterprise和Netsparker Standard中的正常扫描仅显示非官方的PCI DSS报告。
您的Web应用程序中可能还存在其他漏洞和安全问题,但未在PCI DSS符合性报告中列出。

PCI DSS符合性报告部分

PCI DSS符合性报告分为四个部分:

  • 扫描细节
  • 扫描总览
  • 漏洞名称和详细信息
  • 显示/隐藏扫描详细信息

扫描元数据

本节提供以下各项的详细信息:

  • 扫描目标
  • 扫描时间
  • 扫描时间
  • 要求总数
  • 平均速度
  • 风险等级

漏洞

这提供了以下方面的数字和图形概述:

  • 数量:在各种漏洞严重性级别下检测到的问题数量
  • 已识别的漏洞:检测到的漏洞总数
  • 已确认的漏洞:Netsparker通过采取额外步骤(例如从目标中提取一些数据)验证的漏洞总数

漏洞摘要

本节提供有关每个发现的漏洞的信息摘要,并根据严重性对漏洞进行分类。例如,如果Netsparker将漏洞确定为“严重”,则需要立即引起注意。

如果单击已识别的漏洞,则可以访问有关该漏洞以及漏洞利用证明的详细信息,例如HTTP请求和响应代码以及正文。如果Netsparker发现了漏洞,但没有被利用的证据,则Netsparker会就此问题提出确定程度。

Netsparker Standard如何生成PCI DSS符合性报告

下表列出并说明了“漏洞摘要”中的各列。

描述
确认 这表明Netsparker是否已验证漏洞。
漏洞 这将显示问题的名称,并提供指向攻击者可以利用的检测到的问题的链接。
方法 这是Netsparker在其中发送有效负载的请求的HTTP方法。它演示了Netsparker部署了什么以识别问题。
网址 这是对包含该问题的资源的引用。
参数 这是用于识别问题的变量。

漏洞名称和详细信息

本节介绍所有已识别的问题和漏洞,以及它们的影响和利用证明。它还说明了应采取的措施以及每种措施,包括外部参考,以获取更多信息。

下表列出并解释了“漏洞名称和详细信息”部分中的标题。

标题 描述
名称 这是已识别问题的名称
漏洞利用证明 这是提供的证据,证明存在漏洞,显示了使用漏洞从目标中提取的信息。
漏洞详情 这将显示有关该漏洞的更多详细信息。
确定性值 这表明Netsparker对确定的问题有多少把握
影响力 这显示了问题或漏洞对目标URL的影响。
成功开发所需的技能 这提供了有关恶意黑客如何利用此问题的详细信息。
采取的行动 这些是可以立即采取的减少影响或防止剥削的步骤。
补救 这提供了解决已发现问题的更多步骤。
外部参考 这提供了指向其他网站的链接,您可以在其中找到更多信息。
分类 PCI DSS 3.2:这提供了更多信息,可帮助您遵守“支付卡行业数据保存标准”(PCI DSS)的要求。
概念证明注释 这些说明原则上说明了系统可能受到损害的方式。
补救措施参考 这提供了有关已解决问题的解决方案的更多信息。
HTTP请求 这是Netsparker发送来检测该问题的整个HTTP请求。
HTTP响应 这是系统对有效负载的答复。

显示扫描详细信息

本节提供了一些配置文件和策略设置,Netsparker使用这些设置和策略设置来调整其扫描以实现更好的扫描范围。例如,它列出了所有已启用的安全检查。

Netsparker Standard如何生成PCI DSS符合性报告

它提供了有关选择此扫描时您的偏好的信息,以便开发人员可以详细了解如何运行扫描。

如何在Netsparker Standard中生成PCI DSS符合性报告

  1. 打开Netsparker Standard。

Netsparker Standard如何生成PCI DSS符合性报告

  1. 在“ 报告” 选项卡中,单击“ PCI DSS符合性报告”。显示“报告另存为” 对话框。

Netsparker Standard如何生成PCI DSS符合性报告

  1. 选择一个保存位置,然后单击“ 保存”。
  2. 此时 还将显示“ 导出报告”对话框,其中“路径”字段已从上一个对话框填充。

Netsparker Standard如何生成PCI DSS符合性报告

  1. 在此对话框中,您可以决定:
  • 策略:选择默认策略或自定义策略报告

  • 格式:选择HTML和/或PDF格式。

  • 漏洞选项(选择一个或全部):

    • 导出已确认:选中后,报告将包含已确认的漏洞。
    • 导出未确认:选择后,报告还将包含未确认的漏洞。
    • 导出所有变体:变体意味着如果Netsparker在多个页面中识别出某些被动或信息级别的问题,则不会显示所有这些变体。但是,用户可以通过启用或禁用此选项来更改此设置。
  • 打开生成的报告:选中后,单击保存即可生成报告。

  1. 单击保存。

由于严重性过滤器,HTML报告格式是交互式的。例如,如果您不想看到“最佳实践”或“信息”详细信息,则可以取消选择它们。单击“漏洞”下的加号时,可以访问有关此问题的更多信息。此外,您可以隐藏或显示补救措施。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~