6.2.4: Защита от распространённых уязвимостей

Подробное описание

Требование 6.2.4 PCI DSS 4.0 обязывает организации защищать веб-приложения и другое программное обеспечение от известных уязвимостей, включённых в списки OWASP Top 10 и SANS CWE Top 25. Это включает внедрение защитных механизмов на уровне кода, WAF-правил и регулярного сканирования уязвимостей. Контроль требует документированного процесса выявления и устранения критических багов до развёртывания в продакшн. Особое внимание уделяется защите от SQL-инъекций, XSS, CSRF, небезопасной десериализации и других атак, способных скомпрометировать данные держателей карт.

Практические шаги внедрения

1. 1

   Внедрить статический (SAST) и динамический (DAST) анализ кода в CI/CD pipeline для автоматического обнаружения уязвимостей

2. 2

   Развернуть Web Application Firewall (WAF) с актуальными правилами защиты от OWASP Top 10

3. 3

   Обеспечить валидацию всех входящих данных на стороне сервера и параметризацию SQL-запросов

4. 4

   Настроить Content Security Policy (CSP), X-Frame-Options, HSTS и другие защитные заголовки

5. 5

   Использовать CSRF-токены для всех форм, изменяющих состояние системы

6. 6

   Регулярно обновлять зависимости и библиотеки через системы управления уязвимостями (SCA)

7. 7

   Проводить ежеквартальные пентесты и сканирования веб-приложений с помощью инструментов типа OWASP ZAP, Burp Suite или Nuclei

Типичные нарушения

• Отсутствие валидации пользовательского ввода на бэкенде, что позволяет провести SQL-инъекции и XSS-атаки

• Использование устаревших библиотек и фреймворков с публично известными CVE

• Хранение конфиденциальных данных в cookie без флагов Secure, HttpOnly и SameSite

• Отсутствие rate limiting и защиты от брутфорса на критических эндпоинтах (логин, API)

• Недостаточная настройка WAF или её полное отсутствие для публичных веб-приложений

Почему это важно

Проверяемые категории

Связанные контроли