欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

關(guān)于webscanner的分析

互聯(lián)網(wǎng)   發(fā)布時(shí)間:2008-10-08 22:13:05   作者:佚名   我要評(píng)論
前幾天風(fēng)起用這給掃描軟件掃了某些國內(nèi)的網(wǎng)站,也包括了我們自己的網(wǎng)站,然后說了我們網(wǎng)站的安全問題,后來我仔細(xì)看了掃出來的漏洞報(bào)告,也把這個(gè)軟件使用了一下,發(fā)現(xiàn)這個(gè)軟件掃出來的報(bào)告并不一定準(zhǔn)確,所報(bào)告的漏洞也不一定會(huì)有危險(xiǎn)這個(gè)程序是一個(gè)相當(dāng)簡(jiǎn)單的程序,
前幾天風(fēng)起用這給掃描軟件掃了某些國內(nèi)的網(wǎng)站,也包括了我們自己的網(wǎng)站,然后說了我們網(wǎng)站的安全問題,后來我仔細(xì)看了掃出來的漏洞報(bào)告,也把這個(gè)軟件使用了一下,發(fā)現(xiàn)這個(gè)軟件掃出來的報(bào)告并不一定準(zhǔn)確,所報(bào)告的漏洞也不一定會(huì)有危險(xiǎn)這個(gè)程序是一個(gè)相當(dāng)簡(jiǎn)單的程序,可以說只是相當(dāng)于一個(gè)批處理命令那樣,程序運(yùn)行的時(shí)候查找一個(gè)叫cgichk.dat的文件,然后查詢服務(wù)器上是否有cgichk.dat中指明的文件存在,如果存在就報(bào)告find xxxxxxxxx ,比如說在cgichk.dat 中有一行是/cgi-bin/Count.cgi如果服務(wù)器上有的話,程序會(huì)報(bào)告 find @/cgi-bin/Count.cgi,這其實(shí)和我們?cè)跒g覽器上打入或者telnet到服務(wù)器的80端口上get是一樣的,程序只是把這個(gè)過程自動(dòng)化了,不用我們手工一步一步來,不過,即使找到了漏洞(其實(shí)是存在一個(gè)已知有安全問題的文件),也未必就是確實(shí)的,就上面說的Count.cgi來說,這是一個(gè)計(jì)數(shù)器程序,很多得網(wǎng)站都會(huì)有的,可是據(jù)我所知,2.5版本以后的并不存在安全問題,但程序不能判斷他的版本的,只要有Count.cgi這個(gè)文件的存在,他就會(huì)報(bào)告出來,即使這個(gè)文件并沒有問題的,相反,如果我把一個(gè)有安全問題的Count.cgi放到服務(wù)器的/cgi-bin/count/Count.cgi的時(shí)候他就不會(huì)報(bào)告了,因?yàn)樵赾gichk.dat中已經(jīng)定死了是/cgi-bin/Count.cgi,在別的地方他就找不到了,所以說即使是他能掃出來的那些,也未必就是有問題,如果我把cgichk.dat中的每一個(gè)文件都放到服務(wù)器上,但每個(gè)文件都是0字節(jié)的,呵呵,他全部報(bào)告出來,可是你能利用嗎?再說,如果服務(wù)器上的Count.cgi并不是很有名的那一個(gè)計(jì)數(shù)器程序而是我自己寫的一個(gè)cgi程序呢?也許我寫的這個(gè)問題更大,漏洞更多,還是可以得到root的那種,可是你并沒有看過我的源程序,你也利用不了啊,哈,與其說這是個(gè)掃描器不如說是個(gè)文件查找器更好。但我并不是說這個(gè)程序不好,相反這個(gè)程序可以提高效率,問題是看你怎樣使用,如果你能善于利用cgichk.dat這個(gè)文件的話。

相關(guān)文章

最新評(píng)論