Отчет logwatch выводит следующее сообщение.
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200
Я знаю, что это совпадение основано на заранее определенном списке строк из Logwatch и что это возможно эксплуатировать, но я не уверен, как продолжить расследование, чтобы убедиться, что это не так.
Достаточно ли просто посетить этот URL-адрес в браузере и проверить, не выводится ли личная информация или есть другие методы / места, которые мне нужно проверить?
Означает ли ответ HTTP 200, что он достиг каталога / etc / passwd?
- Достаточно ли просто посетить этот URL-адрес в браузере и проверить, не выводится ли личная информация?
Для подхода первого уровня - да. Но это не значит, что в коде нет других уязвимостей. Возможные подходы - запустить сканер безопасности, который проверяет распространенные и известные уязвимости, полный тест на проникновение или аудит кода.
- Означает ли ответ HTTP 200, что он достиг файла / etc / passwd?
Нет. Это просто показывает, что сервер успешно выполнил запрос, а не то, что он проанализировал параметры GET, как надеялся злоумышленник. Даже к запросу статического контента можно добавить параметры, которые будут просто проигнорированы.
Большинство серверов, доступных в Интернете, постоянно проверяются, поэтому, если вы не получите неожиданных результатов при повторении таких запросов, это не вызывает особого беспокойства.