У меня есть сайт, который должен пройти соответствие стандарту PCI.
Сайт, использующий Magento 1.5.1 (Magento — это система на основе PHP), и сбой соответствия PCI — это предсказуемый идентификатор сеанса cookie.
Я предполагаю, что это означает, что они хотят, чтобы файл cookie в Magento с именем «frontend» был изменен на случайный UUID. Я бы предположил, что это можно сделать без модификации или расширения ядра, но я не могу найти настройку для этого.
Мысли?
Вот описание уязвимости:
Удаленное веб-приложение использует предсказуемые идентификаторы сеансов на основе файлов cookie. В идеале идентификаторы сеансов представляют собой случайно сгенерированные числа, которые злоумышленники не могут угадать. Если идентификатор сеанса предсказуем, злоумышленник может захватить