日志监视报告输出以下消息。
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200
我知道这个匹配是基于 Logwatch 中预定义的字符串列表,并且它是一个可能的但我不确定如何进一步调查以确保它不是一个漏洞。
仅在浏览器中访问此 URL 并检查是否没有输出私人信息就足够了吗,或者还有其他方法/地方需要检查?
HTTP 响应 200 是否意味着它到达了 /etc/passwd 目录?
答案1
- 是否只需在浏览器中访问此 URL 并检查是否没有输出隐私信息就足够了?
对于第一级方法来说,是的。但这并不意味着代码中没有其他漏洞。可能的方法是运行安全扫描器来检查常见和已知漏洞、进行全面渗透测试或代码审计。
- HTTP 响应 200 是否意味着它到达了 /etc/passwd 文件?
不,它不会。它只是表明服务器成功完成了请求,而不是像攻击者希望的那样解析了 GET 参数。即使是静态内容的请求也可以附加选项,这些选项将被忽略。
大多数互联网暴露的服务器都会受到持续探测,因此,除非您在重复此类请求时得到意外结果,否则无需担心。