Come capire se il sito di qualcun altro è vulnerabile a Shellshock senza averli hackerati?

3

Scheda di registrazione in mano, sono andato a registrare ieri uno strumento elettrico appena acquistato. Ma quando sono arrivato al sito del produttore, sono stato accolto da un'antica interfaccia homegrown contrassegnata come "Copyright (C) 2004" e simile all'HTML 1.0. Il tentativo di connettersi tramite https ha prodotto un certificato TLS non valido e nessun accesso alla pagina. L'URL di registrazione reindirizzato assomigliava molto a " link " Tutto puzzava di vulnerabilità prive di patch, ma l'amministratore del sito ha risposto alla mia domanda e mi ha assicurato che il loro sistema di registrazione della garanzia Oracle era sicuro. (Non importa che una macchina Oracle probabilmente non si chiami "apache".)

Ho deciso che possedere uno strumento alimentato a benzina non registrato con pale giganti era più sicuro che affidare loro il mio nome e indirizzo. Non sto nemmeno inviando loro la carta post-pagamento nella posta ordinaria, perché non vedo alcuna prova di sicurezza alla fine.

Ma quello che voglio veramente sapere è se c'è un modo per me di valutare il loro sito senza realmente attaccarli, o se c'è qualcuno che offre un "servizio di test Shellshock", o un sito o altro organismo affidabile che permetterebbe so se sono corretti ai livelli attuali o meno.

    
posta John Deters 01.10.2014 - 20:40
fonte

1 risposta

6

Con Heartbleed, è possibile eseguire una scansione definitiva: chiedere una risposta heartbeat con un byte troppo grande e vedere se la si ottiene; un risultato negativo significa che il server non è vulnerabile. Questo verifica direttamente la libreria OpenSSL ed esegue esattamente le stesse operazioni che un utente malintenzionato potrebbe eseguire.

Questo non è possibile con "shellshock": la shell bash non viene mai esposta direttamente a Internet. Qualsiasi scansione è indiretta, chiama un programma CGI e verifica se il carico utile di attacco viene eseguito, quindi una scansione che restituisce un risultato negativo potrebbe essere perché il server è stato riparato (non vulnerabile) o perché utilizza una shell di sistema diversa (forse no vulnerabile), o perché nessuno dei programmi CGI chiama bash (non vulnerabile al momento), o perché la scansione non ha provato il giusto programma CGI (vulnerabile, ma non lo sai).

    
risposta data 01.10.2014 - 23:00
fonte

Leggi altre domande sui tag