关于webscanner的分析

原作者: [db:作者] 来自: [db:来源] 收藏邀请

前几天风起用这给扫描软件扫了某些国内的网站，也包括了我们自己的网站，然后说了我们网站的安全问题，后来我仔细看了扫出来的漏洞报告，也把这个软件使用了一下，发现这个软件扫出来的报告并不一定准确，所报告的漏洞也不一定会有危险这个程序是一个相当简单的程序，可以说只是相当于一个批处理命令那样，程序运行的时候查找一个叫cgichk.dat的文件，然后查询服务器上是否有cgichk.dat中指明的文件存在，如果存在就报告find xxxxxxxxx ,比如说在cgichk.dat 中有一行是/cgi-bin/Count.cgi如果服务器上有的话，程序会报告 find @/cgi-bin/Count.cgi,这其实和我们在浏览器上打入或者telnet到服务器的80端口上get是一样的，程序只是把这个过程自动化了，不用我们手工一步一步来，不过，即使找到了漏洞（其实是存在一个已知有安全问题的文件），也未必就是确实的，就上面说的Count.cgi来说，这是一个计数器程序，很多得网站都会有的，可是据我所知，2.5版本以后的并不存在安全问题，但程序不能判断他的版本的，只要有Count.cgi这个文件的存在，他就会报告出来，即使这个文件并没有问题的，相反，如果我把一个有安全问题的Count.cgi放到服务器的/cgi-bin/count/Count.cgi的时候他就不会报告了，因为在cgichk.dat中已经定死了是/cgi-bin/Count.cgi，在别的地方他就找不到了，所以说即使是他能扫出来的那些，也未必就是有问题，如果我把cgichk.dat中的每一个文件都放到服务器上，但每个文件都是0字节的，呵呵，他全部报告出来，可是你能利用吗？再说，如果服务器上的Count.cgi并不是很有名的那一个计数器程序而是我自己写的一个cgi程序呢？也许我写的这个问题更大，漏洞更多，还是可以得到root的那种，可是你并没有看过我的源程序，你也利用不了啊，哈，与其说这是个扫描器不如说是个文件查找器更好。但我并不是说这个程序不好，相反这个程序可以提高效率，问题是看你怎样使用，如果你能善于利用cgichk.dat这个文件的话。