Estaba escaneando un sitio web utilizando Zed Attack Proxy, cuando descubrí que es vulnerable a la ejecución remota de comandos, específicamente el tiempo de espera con el encabezado del Referer (que se muestra en la solicitud a continuación). No tengo idea de cómo verificar si es un falso positivo. ¿Qué debo mirar para un ataque de tiempo de espera de ZAP? ¿Hay alguna etiqueta HTML o algo de DOM que deba verificar?
Solicitud:
POST https://www.example./ HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;)
Pragma: no-cache
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded
Content-Length: 195
Referer: https://www.example.com/run timeout /T 5
X-ZAP-Scan-ID: 90020
Host: www.example.com
username=foo-bar%40example.com&password=ZAP&screenSize=desktop&interface=ajax&hasPushState=0&sessionKey=33dd6c741affafeef106ede200e510a7c0ba8e00a630398d3271649db0878cdcf1e7cc7fbd77c30d&remember=1
Respuesta:
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 26 Jan 2016 06:02:06 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 34075
Connection: close
X-Request-Id: web3-3017604-1453788125-73
Set-Cookie: s_=1%3Bnyi%3Bnyi%3B4897e65805da04c0f9c6208c1ef21967%3B1453788126%3B89609bbbece2c72f5cc2e6a4acea1c2944c3deb6; path=/; domain=www.example.com; secure; HttpOnly
X-Backend: web3
X-Frame-Options: SAMEORIGIN
X-Frontend: frontend2
X-UA-Compatible: IE=edge,chrome=1
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://api.pin.net.au https://api.stripe.com https://tag.perfectaudience.com; frame-src *; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src data: https://fonts.gstatic.com; img-src * data: blob:; media-src 'none'; object-src 'none'