Определить, возможно ли успешное зондирование успешной эксплойты?

Question

Определить, возможно ли успешное зондирование успешной эксплойты?

Отчет logwatch выдал следующее сообщение.

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200

Мне известно, что это совпадение основано на предварительно определенном списке строк из Logwatch и что это возможный эксплойт, но я не уверен, как исследовать его дальше, чтобы быть уверенным, что это не так.

Достаточно ли просто посетить этот URL в браузере и проверить, не выводится ли личная информация, или есть другие способы / места, которые мне нужно проверить?
HTTP-ответ 200 означает, что он достиг каталога /etc/passwd?

3

security drupal

Источник

undersound 28 ноя '14 в 08:54

1 ответ

Решение

Другие вопросы по тегам security drupal

HBruijn 28 ноя '14 в 09:12 2014-11-28 09:12 · Accepted Answer · 2014-11-28 09:12

Достаточно ли просто посетить этот URL в браузере и проверить, не выводится ли личная информация?

Для подхода первого уровня, да. Но это не значит, что в коде нет других уязвимостей. Возможные подходы - запуск сканера безопасности, который проверяет общие и известные уязвимости, полный тест на проникновение или аудит кода.

HTTP-ответ 200 означает, что он дошел до файла / etc / passwd?

Нет. Это просто показывает, что сервер успешно завершил запрос, а не то, что он проанализировал параметры GET, как надеялся злоумышленник. Даже запрос статического контента может быть дополнен параметрами, которые будут просто проигнорированы.

Большинство серверов, подключенных к Интернету, постоянно проверяются, поэтому, если вы не получите неожиданные результаты при повторении таких запросов, нет особой проблемы.