Determine se a possível detecção bem-sucedida é uma exploração bem-sucedida?

Navegue suas respostas
3

Um relatório de logwatch emitiu a seguinte mensagem. 

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200

Estou ciente de que essa correspondência é baseada em uma lista predefinida de strings do Logwatch e que é uma exploração possível , mas não tenho certeza de como investigar mais para ter certeza de que não é uma. / p>

  1. É suficiente apenas visitar esse URL no navegador e verificar se não há informações particulares sendo exibidas ou se há outros métodos / locais que preciso verificar?

  2. A resposta HTTP 200 significa que alcançou o diretório / etc / passwd?

por undersound 28.11.2014 / 09:54

1 resposta

7
  1. Is it enough to just visit this URL in the browser and check if there is no private information being outputted?

Para uma abordagem de primeiro nível, sim. Mas isso não significa que não haja outras vulnerabilidades no código. As possíveis abordagens seriam executar um verificador de segurança que verifica vulnerabilidades comuns e conhecidas, um teste de penetração total ou auditoria de código.

  1. Does the HTTP response 200 mean it reached the /etc/passwd file?

Não, isso não acontece. Isso simplesmente mostra que o servidor concluiu a solicitação com êxito, e não que analisou os parâmetros GET como o invasor esperava. Mesmo um pedido de conteúdo estático pode ser anexado com opções, que serão simplesmente ignoradas.

A maioria dos servidores com acesso à Internet é continuamente investigada, portanto, a menos que você obtenha resultados inesperados ao repetir tais solicitações, há pouca preocupação imediata.

    
por 28.11.2014 / 10:12

Tags

/ var / log / httpd / access_log não está mais sendo escrito A tarefa agendada do script Powershell não terminará