PCI DSS符合性報告

PCI合規性報告可幫助您的組織達到支付卡行業數據安全標準（PCI DSS）。

• 主要的卡方案在2004年為PCI DSS建立了這套安全標準，并且定期進行更新。如果您的組織依靠信用卡和/或借記卡付款，則嚴格遵守這些規則。借助Netsparker的PCI DSS符合性報告，您可以輕松查看哪些漏洞和問題違反了標準。

• PCI DSS報告包含所有技術細節，因此主要滿足開發人員和IT人員的需求。該報告主要介紹了總體安全狀況。

為了能夠在Netsparker Enterprise中生成批準的PCI DSS報告，您必須首先 運行PCI DSS掃描。
您可以將Netsparker Standard配置為執行PCI DSS掃描，但是其報告并不構成正式報告。
Netsparker Enterprise和Netsparker Standard中的正常掃描僅顯示非官方的PCI DSS報告。
您的Web應用程序中可能還存在其他漏洞和安全問題，但未在PCI DSS符合性報告中列出。

PCI DSS符合性報告部分

PCI DSS符合性報告分為四個部分：

• 掃描細節
• 掃描總覽
• 漏洞名稱和詳細信息
• 顯示/隱藏掃描詳細信息

掃描元數據

本節提供以下各項的詳細信息：

• 掃描目標
• 掃描時間
• 掃描時間
• 要求總數
• 平均速度
• 風險等級

漏洞

這提供了以下方面的數字和圖形概述：

• 數量：在各種漏洞嚴重性級別下檢測到的問題數量
• 已識別的漏洞：檢測到的漏洞總數
• 已確認的漏洞：Netsparker通過采取額外步驟（例如從目標中提取一些數據）驗證的漏洞總數

漏洞摘要

本節提供有關每個發現的漏洞的信息摘要，并根據嚴重性對漏洞進行分類。例如，如果Netsparker將漏洞確定為“嚴重”，則需要立即引起注意。

如果單擊已識別的漏洞，則可以訪問有關該漏洞以及漏洞利用證明的詳細信息，例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞，但沒有被利用的證據，則Netsparker會就此問題提出確定程度。

下表列出并說明了“漏洞摘要”中的各列。

漏洞名稱和詳細信息

本節介紹所有已識別的問題和漏洞，以及它們的影響和利用證明。它還說明了應采取的措施以及每種措施，包括外部參考，以獲取更多信息。

下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。

顯示掃描詳細信息

本節提供了一些配置文件和策略設置，Netsparker使用這些設置和策略設置來調整其掃描以實現更好的掃描范圍。例如，它列出了所有已啟用的安全檢查。

它提供了有關選擇此掃描時您的偏好的信息，以便開發人員可以詳細了解如何運行掃描。

如何在Netsparker Standard中生成PCI DSS符合性報告

1. 打開Netsparker Standard。

2. 在“ 報告” 選項卡中，單擊“ PCI DSS符合性報告”。顯示“報告另存為” 對話框。

3. 選擇一個保存位置，然后單擊“ 保存”。
4. 此時 還將顯示“ 導出報告”對話框，其中“路徑”字段已從上一個對話框填充。

5. 在此對話框中，您可以決定：

• 策略：選擇默認策略或自定義策略報告

• 格式：選擇HTML和/或PDF格式。

• 漏洞選項（選擇一個或全部）：

  • 導出已確認：選中后，報告將包含已確認的漏洞。
  • 導出未確認：選擇后，報告還將包含未確認的漏洞。
  • 導出所有變體：變體意味著如果Netsparker在多個頁面中識別出某些被動或信息級別的問題，則不會顯示所有這些變體。但是，用戶可以通過啟用或禁用此選項來更改此設置。

• 打開生成的報告：選中后，單擊保存即可生成報告。

6. 單擊保存。

由于嚴重性過濾器，HTML報告格式是交互式的。例如，如果您不想看到“最佳實踐”或“信息”詳細信息，則可以取消選擇它們。單擊“漏洞”下的加號時，可以訪問有關此問題的更多信息。此外，您可以隱藏或顯示補救措施。