說明
呼叫具有無效值的已發現 CGI 時,遠端服務上主控的 Web 應用程式傳回 50x 回應程式碼。這些程式碼可能有數個來源:
- Web 應用程式防火牆或其他防護機制可突然中斷要求。
- 可發生暫時性 Web 伺服器或後端失敗。在此類情況下,通用程式碼為 503「服務無法使用」或 504「閘道逾時」。
- 處理錯誤導致損毀 CGI 或後端模組。在此類情況下,可能會看到諸如 500「內部伺服器錯誤」或 502「錯誤的閘道」的程式碼。
在 Nessus 測試期間,應該會看到 501「未實作」或 505「HTTP 版本不受支援」程式碼。
應對報告的 CGI 進行稽核。
解決方案
- 稽核相關 CGI。
- 篩選出格式錯誤的輸入資料。
- 設陷處理錯誤。
Plugin 詳細資訊
檔案名稱: torture_cgi_50x.nasl
支援的感應器: Nessus
弱點資訊
必要的 KB 項目: Settings/enable_web_app_tests, Settings/HTTP/OWASP10