Test di RCE e SSRF usando Python SimpleHTTerver [chiuso]

-1

È possibile testare le vulnerabilità RCE e SSRF usando Python SimpleHTTPServer ? O dovrei usare un server VPS?

    
posta user185823 05.09.2018 - 00:02
fonte

2 risposte

1

Penso che tu abbia bisogno di capire come funzionano queste vulnerabilità.

Esempio: In RCE l'autore dell'attacco ha bisogno di una vulnerabilità per eseguire i comandi della shell sul server delle vittime. Quindi se crei una semplice pagina web in python con un piccolo input e un pulsante dove l'utente può eseguire i comandi della shell. Quindi puoi testare RCE.

Inoltre puoi creare il tuo laboratorio di test di penetrazione, controlla questi: Metasploitable DVWA bWAPP

    
risposta data 05.09.2018 - 00:35
fonte
0

No, non puoi farlo usando SimpleHTTerver. Legge e restituisce solo qualsiasi file esistente sul server e un errore 404 su qualsiasi altra cosa.

Non c'è alcuna elaborazione. Nessuno script, nessuna inclusione sul lato server, nessun accesso al database. Basta leggere quel file e inviarlo .

E non so cosa abbia a che fare un VPS. Un VPS è solo un computer, come tutti gli altri, ma "nel cloud". Si trova su un altro livello: l'hardware. Pertanto, l'utilizzo di un VPS, di una Playstation 2, di una macchina virtuale, di un contenitore docker o di un mainframe fisico che esegue Linux bare-metal non cambia nulla.

    
risposta data 05.09.2018 - 00:55
fonte

Leggi altre domande sui tag