クラウドメタデータが潜在的に公開される可能性 - ペンテスト

PrettyGirl · 2023 年 11 月 1 日午前 10:34

これらはZAPペネトレーションテストソフトウェアのattackモードからのものです。信頼度が低いと表示され、出力応答にはHTTP/1.1 301 Moved Permanentlyと表示されていますが、すべて問題ないでしょうか？

1. クラウドメタデータが漏洩する可能性

レスポンスヘッダー

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. 非表示ファイルが見つかりました www.mysite.com/.hg

確認のために他にどのようなテストを実行できますか？

Falco · 2023 年 11 月 1 日午後 4:29

市販のペネトレーションテストソフトウェアの結果はほとんどがゴミであり、すべての誤検知を説明するのは時間の無駄です。

再現可能な手順で実際のセキュリティ上の問題を見つけた場合は、HackerOne まで報告してください。

PrettyGirl · 2023 年 11 月 2 日午前 12:40

返信ありがとうございます。

推奨されるペネトレーションテストソフトウェア/ウェブサイトはありますか？

あなたが言及したHackerOneもペネトレーションテストをサービスとして提供していることに気づきました。それはディスコースまたはチームメンバーのいずれかによって所有されているか、リンク/提携していますか？

Falco · 2023 年 11 月 2 日午前 12:47

CDCKはセキュリティレポートの処理と、ペネトレーションテストソフトウェアからの報告のような偽の報告のトリアージをHackerOneに委託しています。CDCKとH1の間に関連性はありません。

PrettyGirl · 2023 年 11 月 2 日午前 12:55

迅速なご返信ありがとうございます。

トピック		返信	表示
Meta is moving to the Cloud :cloud_with_lightning: Hosting	47	12023	2021 年 2 月 25 日
Discourse Performance Reports Hosting	17	2783	2017 年 4 月 18 日
Detect and report Oneboxer failure due to CloudFlare Feature	0	41	2025 年 11 月 14 日
Hetzner deleted my account, my server and I was left with nothing. What to do? Hosting	31	7796	2023 年 7 月 9 日
Discourse CDNs are blocked by privacy badger Site feedback	47	12791	2017 年 8 月 15 日

クラウドメタデータが潜在的に公開される可能性 - ペンテスト

関連トピック