logging报告输出以下消息。
A total of 1 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): /?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200 我知道这个匹配是基于从Logwatch预定义的string列表,这是一个可能的漏洞,但我不确定如何进一步调查以确定它不是一个。
在浏览器中访问这个URL是否足够,并检查是否没有私人信息被输出或有其他方法/我需要检查的地方?
HTTP响应200是否意味着它到达了/ etc / passwd目录?
- 在浏览器中访问这个URL是否足够,并检查是否没有私人信息被输出?
对于第一级的方法,是的。 但这并不意味着代码中没有其他漏洞。 可能的方法是运行一个安全扫描器来检查常见的和已知的漏洞,一个全面的渗透testing或代码审计。
- HTTP响应200是否意味着它到达了/ etc / passwd文件?
不,不是的。 它只是表明服务器成功完成了请求,而不是像攻击者希望的那样parsingGET参数。 即使对静态内容的请求也可以添加选项,这些选项将被忽略。
大多数互联网暴露的服务器不断探查,除非你在重复这样的请求时得到意想不到的结果,否则几乎没有什么问题。