日志观察报告输出以下消息。
A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?_SERVER[DOCUMENT_ROOT]=../../../../../../../../../../../etc/passwd%00 HTTP Response 200
我知道这个匹配是基于来自 Logwatch 的预定义字符串列表,并且它是一个可能的漏洞,但我不确定如何进一步调查以确定它不是一个。
只需在浏览器中访问此 url 并检查是否没有输出私人信息或是否有其他方法/需要检查的地方就足够了吗?
HTTP 响应 200 是否意味着它到达了 /etc/passwd 目录?
对于一级方法,是的。但这并不意味着代码中没有其他漏洞。可能的方法是运行安全扫描程序来检查常见和已知漏洞、全面渗透测试或代码审计。
不,不是的。它只是表明服务器成功完成了请求,而不是像攻击者希望的那样解析了 GET 参数。即使是对静态内容的请求也可以附加选项,这些选项将被简单地忽略。
大多数暴露在互联网上的服务器都会被持续探测,因此除非您在重复此类请求时得到意外结果,否则几乎不会立即引起关注。