Лог owasp zap

Аватар пользователя m.lagodin@gmail.com m.lagodin@gmail.com 29 июля 2018 в 15:16

Добрый день!
Сделал скан семерки owasp-ом, вылетел алерт с высоким риском, мол возможно атака path traversal.
Подскажите, как навсегда закрыть данную потенциальную уязвимость на drupal 7.59? Чтобы длинные (нереальные) пути отсекались. OWASP рекомендует использовать белый список адресов. Как это возможно реализовать?
Скриншот прилепил. Спасибо

ВложениеРазмер
Иконка изображения bezymyannyy.png368.74 КБ
0 Thanks

Комментарии

Аватар пользователя Semantics Semantics 29 июля 2018 в 15:28

А ничего, что у вас эта страшная уязвимость найдена в текстовом файле?
К семёрке тут вопросов быть не может.
Если уязвимость есть (в чём я очень сомневаюсь) - то вопрос к веб-серверу и тому как он настроен

Аватар пользователя m.lagodin@gmail.com m.lagodin@gmail.com 29 июля 2018 в 15:33
Semantics wrote:

А ничего, что у вас эта страшная уязвимость найдена в текстовом файле?

если я правильно понимаю суть потенциальной атаки, при определенной комбинации символов друпал может их некорректно обработать и пропустить за пределы www директории, например в /etc

Сейчас посмотрел логи, идут такие запросы и к другим типам файлов:
62.141.39.8 - - [29/Jul/2018:15:21:44 +0300] "GET /sites/default/files/report_pr.pdf?query=query%27+OR+%271%27%3D%271%27+--+ HTTP/1.0" 200

Аватар пользователя Semantics Semantics 29 июля 2018 в 15:38

Скорее всего это просто боты вас щупают, как и все остальные сайты.

Но в целом, кроме каких-то исключительных случаев, я не представляю как в Drupal можно использовать эту уязвимость.
Это нужно, чтобы уж очень кривой код был.