日志观察报告输出了以下消息。
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200
我知道这个匹配是基于来自 Logwatch 的预定义字符串列表,它是一个可能的漏洞,但我不确定如何进一步调查以确保它不是一个。
仅在浏览器中访问此 url 并检查是否没有输出私人信息或是否有其他方法/地方我需要检查就足够了吗?
HTTP 响应 200 是否意味着它到达了 /etc/passwd 目录?
- 仅在浏览器中访问此 URL 并检查是否没有输出私人信息就足够了吗?
对于第一级方法,是的。但这并不意味着代码中没有其他漏洞。可能的方法是运行安全扫描程序来检查常见和已知漏洞、完整的渗透测试或代码审计。
- HTTP 响应 200 是否意味着它到达了 /etc/passwd 文件?
不,不是的。它只是表明服务器成功完成了请求,而不是像攻击者希望的那样解析 GET 参数。甚至对静态内容的请求也可以附加选项,这些选项将被简单地忽略。
大多数暴露在互联网上的服务器都会被持续探测,因此除非在重复此类请求时得到意外结果,否则几乎不会立即引起关注。