Security 安全度量

在执行PCI合规性安全度量扫描时，我收到以下错误消息。有人知道如何解决这个问题吗

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server.

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0

Host: example.com

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall>

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/>

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code execution vulnerability because the decode() function within the rpc_decoder.php script fails to adequately sanitize user-supplied input before processing it in an eval() call.
Successful exploitation would result in arbitrary code execution in the context of the application. PHP scripts that implement the phpRPC library, such as RunCMS, are affected by this issue. RunCMS 1.1 through 1.3.a5 are affected, as is phpRPC up to 0.7.

Resolution: phpRPC is not currently being maintained. RunCMS users should upgrade to a version higher than 1.3.a5 which will hopefully include a fix.

Risk Factor: High/ CVSS2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2006-1032 BID: 16833 [Less]*

*标题：易受攻击的web程序（phpRPC）影响：远程攻击者可以在web服务器上执行任意命令、创建或覆盖文件或查看文件或目录。
发送的数据：POST/ie/modules/phpRPC/server.php HTTP/1.0
主持人：example.com
内容类型：text/xml内容长度：162 test.method'）；系统（id）；出口
收到的数据：？？？？
解决方案：03/09/06 CVE 2006-1032 phpRPC是一个使用数据库和rpc协议抽象的xmlrpc库。它很容易出现远程代码执行漏洞，因为rpc_decoder.php脚本中的decode（）函数在eval（）调用中处理用户提供的输入之前未能充分清理。
成功利用此漏洞将导致在应用程序上下文中执行任意代码。实现phpRPC库的PHP脚本（如RunCMS）受此问题的影响。RunCMS 1.1至1.3.a5受到影响，phpRPC高达0.7。
解决方案：当前未维护phpRPC。RunCMS用户应该升级到高于1.3.a5的版本，希望其中包含一个补丁。
风险因素：高/CVSS2基本得分：7.5（AV:N/AC:L/Au:N/C:P/I:P/A:P）CVE:CVE-2006-1032出价：16833[更少]*

这是一个相对严重的问题，因为攻击者可能会使用我的服务器上的RPC服务。在不了解您系统的具体情况下，我无法推荐具体的修复方案。但是，您看到的漏洞很可能是由过时的系统造成的。您应该升级并安装所有修补程序。如果您的平台已下线，请转到更新的平台

现在这是一个比较老的问题，但我相信这就是答案，因为我遇到了完全相同的问题

安全度量正在有效地尝试调用

id

的linux命令，该命令将返回如下内容

uid=1000（rob）gid=1000（rob）groups=…

我的理论是，安全指标检查字符串

uid=

的响应，以查看代码是否已在远程服务器上执行。这恰好与谷歌的重新营销标签相匹配。例如，在您的问题中，uid=部分：

src=“//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/？value=0&；label=PlcJCKu92AQ Q1aPv2wM&；guid=ON&；script=0”

我的解决方案是完全删除404页面上的Google Remarketing标签，而不仅仅是用JS或HTML注释。因为返回的404页面是他们发布到的url（

/scripts/modules/phpRPC/server.php

），以尝试查找漏洞

我希望这能帮助你，或者任何遇到这个问题的人

谢谢

---

Rob

在发布到internet之前，您应该清理URL和其他敏感信息。我建议您更改示例中的域等，除非您已经更改了。我们使用的是Windows 2008 server。该项目位于ASP.NET4.0上，SQL Server作为2008 R2作为后端。我们没有使用任何php服务器或类似的东西。它和谷歌的广告有关吗？我们在一些页面上有他们的js代码。我试图通过注释这些行来运行测试。仍然会出现这个错误。在不运行PHP的情况下看到这个错误真的很奇怪。我想你链接到的站点（可能是通过JS链接的）可能有漏洞，但是一旦你注释掉了代码，我就希望错误会消失。这没有多大意义（我敢肯定你的头撞到墙上了）。你用的是什么扫描仪？Nessus、Retina等？该测试由security metricsOh执行。我有一个朋友曾经为他们做渗透测试。我会给他发封电子邮件，但我不知道他是否有什么想法。很抱歉，除了说他们通常有客户服务，你可以打电话寻求帮助之外，我帮不了你更多的忙。非常感谢你，本，我非常感谢你为帮助我所做的努力。这发生在再营销标签上的每一页上，而不仅仅是404页。他们现在试图给一个非404页面打同样的电话，而扫描现在却收到了。在谈到安全指标后，我不得不向他们提交一个假阳性请求，以覆盖此渗透测试。我在等待他们的答复。如果无法重定向到404页面，而URL的标签看起来像/modules/phpRPC/server.php，带有正则表达式，那么这项工作就可以完成了……很好的发现。Cloudflare会话cookie也是如此。它返回

\uuu cfuid=[random session hash]

，触发扫描/审核（如Controlscan），通过phpRPC通道将服务器标记为易受攻击。似乎扫描供应商的正则表达式/逻辑是从一个过于简单的角度进行操作的……他们应该寻找与通过

#id

命令实际输出的方面相匹配的字符串，而不仅仅是资产中任何地方返回的ol

uid=

。