Metadatos de la nube potencialmente expuestos - Pen. testing

Instalación
1

Estas son del software de prueba de penetración ZAP en modo attack. Veo que dice que la confianza es baja y la respuesta de salida dice HTTP/1.1 301 Moved Permanently, ¿así que espero que todo esté bien?

1. Metadatos de la nube potencialmente expuestos

Screenshot 2023-11-01 at 9.24.42 pm
Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

Encabezado de respuesta

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Archivo oculto encontrado www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm
Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

¿Qué otras pruebas puedo hacer para obtener una confirmación?

2

Los resultados del software de prueba de penetración comercial son en su mayoría basura y es una pérdida de tiempo para todos explicar cada falso positivo.

Si encuentra un problema de seguridad real con pasos reproducibles, repórtelo en HackerOne.

4 Me gusta
3

Gracias por la respuesta.

¿Hay algún software/sitio web recomendado para pruebas de penetración?

Noté que el que mencionaste HackerOne también ofrece pruebas de penetración como servicio. ¿Es propiedad o está vinculado/afiliado a discourse o a alguno de los miembros del equipo?

4

Pagamos a HackerOne para que gestione nuestros informes de seguridad y clasifique los informes falsos, como los del software de pruebas de penetración. No existe ninguna afiliación entre CDCK y H1.

4 Me gusta
5

Gracias por la pronta respuesta.