当該脆弱性の有無は、curlでご確認いただけます。
curlの内容
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
curl.exe -iv -X CONNECT --request-target "target-ip:target-port" -H "Accept:" -H "User-Agent:" -H "Host:" --http1.0 http://target-ip:target-port/
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
例:curl.exe -iv -X CONNECT --request-target "abctest.co.jp:80" -H "Accept:" -H "User-Agent:" -H "Host:" --http1.0 http://abctest.co.jp:80/
⇒「"target-ip:target-port"」の target-ip には診断対象を、target-port には当該項目が検知された際のポート番号を入れてください。「http://target-ip:target-port/」の頭の「http」の部分は、適宜「http」または「https」を適宜指定してください。
200レスポンスが返ってきた場合、CONNECT接続できるということで検知され、
400レスポンスが返ってきた場合、当該項目は検知されません。
対策を取られているということであれば、お客様のご希望次第で誤検知かリスク受容としてマークすることは可能でございます。
・リスク受容については下記をご参照ください。
検知項目のリスク受容について
・誤検知については下記ごご参照ください。
コメント
0件のコメント
サインインしてコメントを残してください。