Métadonnées du cloud potentiellement exposées - Tests d'intrusion

Installation
1

Ceux-ci proviennent du logiciel de test d’intrusion ZAP en mode attack. Je vois qu’il est indiqué que la confiance est faible et que la réponse de sortie indique HTTP/1.1 301 Moved Permanently, donc j’espère que tout va bien ?

1. Métadonnées cloud potentiellement exposées

Screenshot 2023-11-01 at 9.24.42 pm
Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

En-tête de réponse

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Fichier caché trouvé www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm
Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

Quels autres tests puis-je effectuer pour obtenir une confirmation ?

2

Les résultats des logiciels de test d’intrusion prêts à l’emploi sont pour la plupart des déchets et c’est une perte de temps pour tout le monde d’expliquer chaque faux positif.

Si vous trouvez un problème de sécurité réel avec des étapes reproductibles, veuillez le signaler sur HackerOne.

4 « J'aime »
3

Merci pour votre réponse.

Existe-t-il des logiciels/sites Web recommandés pour les tests d’intrusion ?

J’ai remarqué que celui que vous avez mentionné, HackerOne, propose également des tests d’intrusion en tant que service. Est-il détenu par, lié ou affilié à Discourse ou à l’un des membres de l’équipe ?

4

Nous payons HackerOne pour gérer nos rapports de sécurité et trier les rapports bidons, comme ceux des logiciels de test de pénétration. Il n’y a aucune affiliation entre CDCK et H1.

4 « J'aime »
5

Merci pour votre réponse rapide.