Кручу уязвимость на серваке Heartbleed. но кроме вского мусора кусков html, javascrip ничего не проскакивает. Сессий тоже нет. Долго ли нужно крутить багу чтобы словить что-то полезное?

в лс линк кинь

По порту 443 пройди на сайт, а не 80 как скинул ты. Суть должна стать понятной..

.SpoilerTarget" type="button">Spoiler: do not download
http:/_take.ms/ExD6B

Примерчик аналогичный выше, там все можно найти, и sql query, куки, активность пользователей. Конечно сачковал в кашу, но не суть, для наглядности только лучше, а для пригодности - бог накажет)

Мож кому пригодиться. Может кто нибудь уточнит, по сути я не особо вдавался глубоко в HB, пару раз пригодилось, да и только..

Ну так ты удивил что если напрямую по 443 порту то попадешь на страницу апача.

Это может быть и скорее всего в данном случае и есть так называемый виртуальный сервер, либо просто не пофиксил остальные компоненты админ от ХБ, ну впрочем то, задачу он выполнил.

(не буду утверждать что это именно так, надеюсь мысль в правильном русле, если кто-то поправит, буду благодарен)

Тебе останется тестить на порты такие как ftp, pop, imap и тд путем STARTTLS, если будет последующее "рукопожатие" и установка ssl, уже считай не плохо).