Метаданные облака потенциально скомпрометированы - тестирование на проникновение

Эти результаты получены из ПО для пентестирования ZAP в режиме attack. Я вижу, что уровень уверенности указан как низкий, а в ответе сервера сказано HTTP/1.1 301 Moved Permanently, так что надеюсь, всё в порядке?

1. Метаданные облака потенциально раскрыты

Screenshot 2023-11-01 at 9.24.42 pm1752×620 70.7 KB

Заголовки ответа

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 01 Nov 2023 10:10:17 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://examplesite.com/latest/meta-data/
Strict-Transport-Security: max-age=63072000

2. Обнаружен скрытый файл www.mysite.com/.hg

Screenshot 2023-11-01 at 9.27.09 pm2558×620 70 KB

Какие ещё тесты я могу провести для подтверждения?

Результаты работы готового ПО для пентестов в большинстве случаев бесполезны, и тратить время всех на объяснение каждого ложного срабатывания — пустая трата времени.

Если вы обнаружили реальную уязвимость безопасности с воспроизводимыми шагами, пожалуйста, сообщите об этом по адресу HackerOne.

Спасибо за ответ.

Есть ли какие-либо рекомендуемые инструменты или сайты для пентестинга?

Я заметил, что упомянутый вами HackerOne также предоставляет услуги пентестинга. Принадлежит ли он Discourse или связан с кем-либо из членов команды?

Мы платим HackerOne за обработку наших отчетов о безопасности и фильтрацию ложных отчетов, например, от программного обеспечения для пентестинга. Между CDCK и H1 нет никакой связи.

Спасибо за быстрый ответ.