关于webscanner的分析
/ns/cn/tool/data/20010128061303.htm
前几天风起用这给扫描软件扫了某些国内的网站,也包括了我们自己的网站,然后说了我们网站的安全问题,后来我仔细看了扫出来的漏洞报告,也把这个软件使用了一下,发现这个软件扫出来的报告并不一定准确,所报告的漏洞也不一定会有危险
这个程序是一个相当简单的程序,可以说只是相当于一个批处理命令那样,程序运行的时候查找一个叫cgichk.dat的文件,然后查询服务器上是否有cgichk.dat中指明的文件存在,如果存在就报告find xxxxxxxxx ,比如说在cgichk.dat 中有一行是/cgi-bin/Count.cgi
如果服务器上有的话,程序会报告 find @/cgi-bin/Count.cgi,这其实和我们在浏览器上打入或者telnet到服务器的80端口上get是一样的,程序只是把这个过程自动化了,不用我们手工一步一步来,不过,即使找到了漏洞(其实是存在一个已知有安全问题的文件),也未必就是确实的,就上面说的Count.cgi来说,这是一个计数器程序,很多得网站都会有的,可是据我所知,2.5版本以后的并不存在安全问题,但程序不能判断他的版本的,只要有Count.cgi这个文件的存在,他就会报告出来,即使这个文件并没有问题的,相反,如果我把一个有安全问题的Count.cgi放到服务器的/cgi-bin/count/Count.cgi的时候他就不会报告了,因为在cgichk.dat中已经定死了是/cgi-bin/Count.cgi,在别的地方他就找不到了,所以说即使是他能扫出来的那些,也未必就是有问题,如果我把cgichk.dat中的每一个文件都放到服务器上,但每个文件都是0字节的,呵呵,他全部报告出来,可是你能利用吗?再说,如果服务器上的Count.cgi并不是很有名的那一个计数器程序而是我自己写的一个cgi程序呢?也许我写的这个问题更大,漏洞更多,还是可以得到root的那种,可是你并没有看过我的源程序,你也利用不了啊,哈,与其说这是个扫描器不如说是个文件查找器更好。
但我并不是说这个程序不好,相反这个程序可以提高效率,问题是看你怎样使用,如果你能善于利用cgichk.dat这个文件的话。