Ověření zranitelnosti webového serveru

[APhacker_mob]

Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.

Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.

[Reklama]

[CPU]

Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.

[APhacker_mob]

Jestli na to máš nějaký peníze, pošli mi SZ, píchnu ti.

Proc bych mel platit zrovna Vam? Podle historie prispevku diskutujete pouze o vysi platu a cenach HW. K tomu se dokaze vyjadrovat kazdy. Muzete prokazat odbornost?

[modnar]

Pokud pouziva Nginx tak se to pozna podle verze > 1.16.1: https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/ Pokud pouzivas Apache, pouzivas skutecne modul http2 ? https://tools.keycdn.com/http2-test

[alex6bbc]

nejjednodussi je overeni presne verze.

[Reklama]

[alex6bbc]

a myslim, ze na webu uz je nejaka volba do configu, aby se chvili cekalo mezi volanimi a to nastaveni predejte zneuziti chyby.

[Filip Jirsák]

Pochybuju, že na to bude webový scanner – musel by zkoušet zaútočit na web, který mu zadá uživatel, a k něčemu takovému nikdo soudný svůj webserver nepropůjčí.

Nevypadá to, že by byl nějaký veřejně známý PoC nebo exploit. Řešením by mohlo být ukázat, že máte konfiguraci, která nespadá do postižených konfigurací vyjmenovaných na stránce CVE.

A hlavně bych se ptal zákazníka, proč si myslí, že tam ta zranitelnost je.

[APhacker_mob]

nejjednodussi je overeni presne verze.

Neni z venku videt.

[alex6bbc]

nejjednodussi je overeni presne verze.

Neni z venku videt.

takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!

to je jak v manzelstvi.

ps: to je imbecilita, zakaznik si ma prekontrolovat verze.

[APhacker_mob]

nejjednodussi je overeni presne verze.

Neni z venku videt.

takze ty mas zakaznika co nespolupracuje a ty mu chces pomoci zahlceni serveru dokazat, ze mas pravdu?!

to je jak v manzelstvi.

ps: to je imbecilita, zakaznik si ma prekontrolovat verze.

Zakaznik nema na nas server pristup, jsme propojeni pres API.

[modnar]

Zakaznik nema na nas server pristup, jsme propojeni pres API.

Proc to teda nenapises jemu? Co ches teda dokazovat, ze API nebezi po HTTP?

[CPU]

Takže na to love nemáš. No kdybys měl, tak bych ti píchnul :-)

[FKoudelka]

Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.

Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.

a jseš  si jistej, že server poskytuje http/2 i přes to API ?

[MalyTomi]

A preco ty by si mal dokazovat, ze tam nie je. Ak je zakaznik presvedceny, ze je tam zranitelnost, tak nech ti dokazy, na zaklade ktorych na to prisiel doda on.

[CPU]

nech ti dokazy, na zaklade ktorych na to prisiel doda on.

Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.

Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...