29 июля 2018 в 15:16
Добрый день!
Сделал скан семерки owasp-ом, вылетел алерт с высоким риском, мол возможно атака path traversal.
Подскажите, как навсегда закрыть данную потенциальную уязвимость на drupal 7.59? Чтобы длинные (нереальные) пути отсекались. OWASP рекомендует использовать белый список адресов. Как это возможно реализовать?
Скриншот прилепил. Спасибо
| Вложение | Размер |
|---|---|
 bezymyannyy.png | 368.74 КБ |
Комментарии
А ничего, что у вас эта страшная уязвимость найдена в текстовом файле?
К семёрке тут вопросов быть не может.
Если уязвимость есть (в чём я очень сомневаюсь) - то вопрос к веб-серверу и тому как он настроен
если я правильно понимаю суть потенциальной атаки, при определенной комбинации символов друпал может их некорректно обработать и пропустить за пределы www директории, например в /etc
Сейчас посмотрел логи, идут такие запросы и к другим типам файлов:
62.141.39.8 - - [29/Jul/2018:15:21:44 +0300] "GET /sites/default/files/report_pr.pdf?query=query%27+OR+%271%27%3D%271%27+--+ HTTP/1.0" 200Скорее всего это просто боты вас щупают, как и все остальные сайты.
Но в целом, кроме каких-то исключительных случаев, я не представляю как в Drupal можно использовать эту уязвимость.
Это нужно, чтобы уж очень кривой код был.