Metadados da nuvem potencialmente expostos - Teste de penetração

Instalação
1

Estes são do software de teste de penetração ZAP no modo attack. Vejo que diz que a confiança é baixa e a resposta de saída diz HTTP/1.1 301 Moved Permanently, então espero que tudo esteja bem?

1. Metadados da nuvem potencialmente expostos

Screenshot 2023-11-01 at 9.24.42 pm
Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

Cabeçalho de resposta

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Arquivo oculto encontrado www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm
Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

Que outros testes posso fazer para obter uma confirmação?

2

Os resultados de softwares de teste de penetração prontos para uso são em sua maioria lixo e é uma perda de tempo de todos explicar cada falso positivo.

Se você encontrar um problema de segurança real com etapas reproduzíveis, por favor, relate em HackerOne.

4 curtidas
3

Obrigado pela resposta.

Existe algum software/site recomendado para testes de penetração?

Notei que o que você mencionou, HackerOne, também oferece testes de penetração como serviço. É de propriedade ou está vinculado/afiliado ao Discourse ou a algum dos membros da equipe?

4

Pagamos à HackerOne para lidar com nossos relatórios de segurança e triar relatórios falsos, como os de software de teste de penetração. Não há afiliação entre CDCK e H1.

4 curtidas
5

Obrigado pela rápida resposta.