Cloud-Metadaten potenziell offengelegt - Pen. Testing

Installation
1

Dies sind von der ZAP Pen-Testing-Software im attack-Modus. Ich sehe, dass die Konfidenz niedrig ist und die Ausgabeantwort HTTP/1.1 301 Moved Permanently lautet. Ich hoffe also, dass alles in Ordnung ist?

1. Cloud-Metadaten potenziell offengelegt

Screenshot 2023-11-01 at 9.24.42 pm
Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

Antwort-Header

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Versteckte Datei gefunden www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm
Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

Welche anderen Tests kann ich durchführen, um eine Bestätigung zu erhalten?

2

Die Ergebnisse von Standard-Penetrationstest-Software sind größtenteils Müll und es ist Zeitverschwendung für alle, jeden einzelnen Fehlalarm zu erklären.

Wenn Sie ein tatsächliches Sicherheitsproblem mit reproduzierbaren Schritten finden, melden Sie es bitte unter HackerOne.

4 „Gefällt mir“
3

Vielen Dank für die Antwort.

Gibt es empfohlene Pen-Testing-Software/-Websites?

Mir ist aufgefallen, dass das von Ihnen erwähnte HackerOne auch Pen-Testing als Dienstleistung anbietet. Gehört es zu Discourse oder einem der Teammitglieder oder ist es mit ihnen verbunden/assoziiert?

4

Wir bezahlen HackerOne dafür, unsere Sicherheitsberichte zu bearbeiten und gefälschte Berichte, wie die von Pen-Testing-Software, zu prüfen. Es gibt keine Verbindung zwischen CDCK und H1.

4 „Gefällt mir“
5

Vielen Dank für die schnelle Antwort.