Sto testando un sito e utilizzando lo strumento dirb
incorporato in kali e ha raccolto /cron
con una risposta di 200. Sono andato a quella pagina ed è vuoto. Qualcuno può dirmi perché è stato raccolto e non c'è niente da vedere?
Sto testando un sito e utilizzando lo strumento dirb
incorporato in kali e ha raccolto /cron
con una risposta di 200. Sono andato a quella pagina ed è vuoto. Qualcuno può dirmi perché è stato raccolto e non c'è niente da vedere?
Solo perché un server web restituisce un 200, ciò non significa che ci debba essere contenuto lì. Perché questo sito restituisce 200 e non visualizzare nulla non è qualcosa che possiamo dirti.
Solo avere una pagina o una directory non è mai una vulnerabilità autonoma. Restituire un 200 e non visualizzare il contenuto non è una vulnerabilità. Ma sono ragioni per guardare più in profondità.
dirb
fa parte della fase di "ricognizione".
Significa che c'è una directory o una pagina con il nome cron
sul server. Dalle informazioni che hai fornito, questo è tutto ciò che si può dire: potrebbe essere un file vuoto che qualcuno ha messo lì (ad es. Hanno eseguito touch cron
nella web root), o potrebbe essere una pagina che richiede una qualche forma di autenticazione per fare effettivamente qualsiasi cosa (ad esempio, accetta un parametro GET specifico, quindi esegue alcune operazioni di manutenzione sul sito).
Leggi altre domande sui tag web-application penetration-test owasp