Ověření zranitelnosti webového serveru

Ověření zranitelnosti webového serveru
« kdy: 03. 11. 2023, 20:09:53 »
Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.

Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.
« Poslední změna: 03. 11. 2023, 20:18:06 od Petr Krčmář »


CPU

  • *****
  • 863
    • Zobrazit profil
    • E-mail
Re:Overeni zranitelnosti
« Odpověď #1 kdy: 03. 11. 2023, 20:15:55 »
Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.

Re:Overeni zranitelnosti
« Odpověď #2 kdy: 03. 11. 2023, 20:43:39 »
Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.

Proc bych mel platit zrovna Vam? Podle historie prispevku diskutujete pouze o vysi platu a cenach HW. K tomu se dokaze vyjadrovat kazdy. Muzete prokazat odbornost?

modnar

Re:Ověření zranitelnosti webového serveru
« Odpověď #3 kdy: 03. 11. 2023, 21:05:52 »
Pokud pouziva Nginx tak se to pozna podle verze > 1.16.1: https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/ Pokud pouzivas Apache, pouzivas skutecne modul http2 ? https://tools.keycdn.com/http2-test

alex6bbc

  • *****
  • 1 651
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #4 kdy: 03. 11. 2023, 21:08:40 »
nejjednodussi je overeni presne verze.


alex6bbc

  • *****
  • 1 651
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #5 kdy: 03. 11. 2023, 21:10:22 »
a myslim, ze na webu uz je nejaka volba do configu, aby se chvili cekalo mezi volanimi a to nastaveni predejte zneuziti chyby.

Re:Ověření zranitelnosti webového serveru
« Odpověď #6 kdy: 03. 11. 2023, 21:12:23 »
Pochybuju, že na to bude webový scanner – musel by zkoušet zaútočit na web, který mu zadá uživatel, a k něčemu takovému nikdo soudný svůj webserver nepropůjčí.

Nevypadá to, že by byl nějaký veřejně známý PoC nebo exploit. Řešením by mohlo být ukázat, že máte konfiguraci, která nespadá do postižených konfigurací vyjmenovaných na stránce CVE.

A hlavně bych se ptal zákazníka, proč si myslí, že tam ta zranitelnost je.

Re:Ověření zranitelnosti webového serveru
« Odpověď #7 kdy: 03. 11. 2023, 21:12:57 »
nejjednodussi je overeni presne verze.

Neni z venku videt.

alex6bbc

  • *****
  • 1 651
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #8 kdy: 03. 11. 2023, 21:17:10 »
nejjednodussi je overeni presne verze.

Neni z venku videt.

takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!

to je jak v manzelstvi.

ps: to je imbecilita, zakaznik si ma prekontrolovat verze.

Re:Ověření zranitelnosti webového serveru
« Odpověď #9 kdy: 03. 11. 2023, 21:20:35 »
nejjednodussi je overeni presne verze.

Neni z venku videt.

takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!

to je jak v manzelstvi.

ps: to je imbecilita, zakaznik si ma prekontrolovat verze.

Zakaznik nema na nas server pristup, jsme propojeni pres API.

modnar

Re:Ověření zranitelnosti webového serveru
« Odpověď #10 kdy: 03. 11. 2023, 22:10:04 »
Citace
Zakaznik nema na nas server pristup, jsme propojeni pres API.
Proc to teda nenapises jemu? Co ches teda dokazovat, ze API nebezi po HTTP?

CPU

  • *****
  • 863
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #11 kdy: 03. 11. 2023, 22:40:12 »
Takže na to love nemáš. No kdybys měl, tak bych ti píchnul :-)

FKoudelka

Re:Ověření zranitelnosti webového serveru
« Odpověď #12 kdy: 03. 11. 2023, 23:24:17 »
Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.

Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.
a jseš  si jistej, že server poskytuje http/2 i přes to API ?

Re:Ověření zranitelnosti webového serveru
« Odpověď #13 kdy: 04. 11. 2023, 11:40:33 »
A preco ty by si mal dokazovat, ze tam nie je. Ak je zakaznik presvedceny, ze je tam zranitelnost, tak nech ti dokazy, na zaklade ktorych na to prisiel doda on.

CPU

  • *****
  • 863
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #14 kdy: 04. 11. 2023, 12:04:46 »
nech ti dokazy, na zaklade ktorych na to prisiel doda on.

Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.

Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...