Metadati cloud potenzialmente esposti - Pen. testing

Installazione
1

Questi provengono dal software di pen testing ZAP in modalità attack. Vedo che dice che la confidenza è bassa e la risposta di output dice HTTP/1.1 301 Moved Permanently, quindi spero che vada tutto bene?

1. Metadati cloud potenzialmente esposti

Screenshot 2023-11-01 at 9.24.42 pm
Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

Intestazione della risposta

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Trovato file nascosto www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm
Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

Quali altri test posso fare per ottenere una conferma?

2

I risultati dei software di penetration test “pronti all’uso” sono per lo più spazzatura ed è una perdita di tempo per tutti spiegare ogni singolo falso positivo.

Se trovate un problema di sicurezza effettivo con passaggi riproducibili, segnalatelo su HackerOne.

4 Mi Piace
3

Grazie per la risposta.

Ci sono software/siti web consigliati per il penetration testing?

Ho notato che quello che hai menzionato, HackerOne, offre anche il penetration testing come servizio. È di proprietà o collegato/affiliato a Discourse o a qualche membro del team?

4

Paghiamo HackerOne per gestire i nostri report di sicurezza e analizzare report fasulli, come quelli provenienti da software di penetration testing. Non c’è alcuna affiliazione tra CDCK e H1.

4 Mi Piace
5

Grazie per la pronta risposta.