Une faille XSS sur la page de recherche des PCI QSA trouvée pas Michael Kemp de clappymonkey meme si le PCI SSC ( Payment Card Industry Security Standard Council) ne soit pas orientée vers le traitement de cartes de paiement , la mise en place d’un WAF comme le stipule la norme PCIDSS 1.2 (Payment Card Industry Data Security Standard ) dans sa section Section 6.6 , ou un examen de code du site pour empêcher le cross-site Scripting comme indiqué dans la Section 6.5.1 ne lui serai que bénéfique.
Cette faille s’ajoute aux :
–rapport du WHID (Web Hacking Incidents Database) sur les nouvelles attaques massives de type SQL injection qui ont touchées 500 000 sites dont, 11% axés sur les finances et 11% des détaillants, Qui veut dire en exagérant un peux que 110,000 sites PCI ont faillit aux standard les plus basic.
– Poursuites contre la filiale de la Royal Bank of Scotland’s aux états unis âpres qu’elle est admis que des hackers ont accéder a son système et durant 30 minutes le mois de Novembre dernier, les voleurs ont utilisés 100 cartes de paiement cloné et ont retirer un total de 9 millions de dollars d’argent liquide de 100 machines GAB dans 49 villes du monde.
-Lescandale de Heartland Payment qui a decouvert un malware dans son systeme de paiement par carte bancaire .
La norme PCI DSS n’est elle pas dépassé et dois être revue autrement ?
