Foi-me dito abaixo, da SecurityMetrics, que isso deve ser resolvido. No entanto, não há nenhum arquivo cgi-bin ou perl nesse caminho.
When we perform the following http://www.domain.com/cgi-bin/perl in the URL it pulls a 500 internal server error. Please direct this to a 404 not found alone; otherwise, the vulnerability appears valid.
Perl.exe When we perform the following http://www.domain.com/cgi-bin/perl.exe in the URL it pulls a 500 internal server error. Please direct this to a 404 not found alone; otherwise, the vulnerability appears valid.
Eles também disseram:
We do understand that it may not exist but please have your site show that. An internal server error does not prove that the file doesn't exist. A 404 not found does.
Como posso fazer isso? Estou usando o PHP 5.2.9 / Apache 2.2 / Centos 4.8
A maneira mais fácil de fazer isso é com a regra mod_rewrite . Verifique isso no seu .htaccess
RewriteRule /cgi-bin/perl.exe - [R=404,L]
RewriteRule /cgi-bin/perl - [R=404,L]
(tecnicamente 404 não é um código de resposta válido para mod_rewrite estar enviando, mas funciona)
Instale o modsecurity e adicione a seguinte regra:
SecRule ARGS perl.exe "phase:1,log,deny,status:404"
Não apenas você "cumprirá" esta auditoria (sim, eu sei), mas você terá um WAF completo protegendo você contra muitos problemas que você pode tem em sua aplicação.
Tags security