Drupal
確定可能成功的探測是否成功利用?
日誌觀察報告輸出以下消息。
A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): /?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200
我知道這個匹配是基於來自 Logwatch 的預定義字元串列表,並且它是一個可能的漏洞,但我不確定如何進一步調查以確定它不是一個。
- 僅在瀏覽器中訪問此 url 並檢查是否沒有輸出私人資訊或是否有其他方法/我需要檢查的地方就足夠了嗎?
- HTTP 響應 200 是否意味著它到達了 /etc/passwd 目錄?
- 僅僅在瀏覽器中訪問這個 URL 並檢查是否沒有私人資訊被輸出就足夠了嗎?
對於一級方法,是的。但這並不意味著程式碼中沒有其他漏洞。可能的方法是執行安全掃描程序來檢查常見和已知漏洞、全面滲透測試或程式碼審計。
- HTTP 響應 200 是否意味著它已到達 /etc/passwd 文件?
不,不是的。它只是表明伺服器成功完成了請求,而不是像攻擊者希望的那樣解析了 GET 參數。即使是對靜態內容的請求也可以附加選項,這些選項將被簡單地忽略。
大多數暴露在網際網路上的伺服器都會被持續探測,因此除非您在重複此類請求時得到意外結果,否則幾乎不會立即引起關注。