前幾天風起用這給掃描軟件掃了某些國內的網站，也包括了我們自己的網站，然后說了我們網站的安全問題，后來我仔細看了掃出來的漏洞報告，也把這個軟件使用了一下，發(fā)現這個軟件掃出來的報告并不一定準確，所報告的漏洞也不一定會有危險這個程序是一個相當簡單的程序，可以說只是相當于一個批處理命令那樣，程序運行的時候查找一個叫cgichk.dat的文件，然后查詢服務器上是否有cgichk.dat中指明的文件存在，如果存在就報告find xxxxxxxxx ,比如說在cgichk.dat 中有一行是/cgi-bin/Count.cgi如果服務器上有的話，程序會報告 find @/cgi-bin/Count.cgi,這其實和我們在瀏覽器上打入或者telnet到服務器的80端口上get是一樣的，程序只是把這個過程自動化了，不用我們手工一步一步來，不過，即使找到了漏洞（其實是存在一個已知有安全問題的文件），也未必就是確實的，就上面說的Count.cgi來說，這是一個計數器程序，很多得網站都會有的，可是據我所知，2.5版本以后的并不存在安全問題，但程序不能判斷他的版本的，只要有Count.cgi這個文件的存在，他就會報告出來，即使這個文件并沒有問題的，相反，如果我把一個有安全問題的Count.cgi放到服務器的/cgi-bin/count/Count.cgi的時候他就不會報告了，因為在cgichk.dat中已經定死了是/cgi-bin/Count.cgi，在別的地方他就找不到了，所以說即使是他能掃出來的那些，也未必就是有問題，如果我把cgichk.dat中的每一個文件都放到服務器上，但每個文件都是0字節(jié)的，呵呵，他全部報告出來，可是你能利用嗎？再說，如果服務器上的Count.cgi并不是很有名的那一個計數器程序而是我自己寫的一個cgi程序呢？也許我寫的這個問題更大，漏洞更多，還是可以得到root的那種，可是你并沒有看過我的源程序，你也利用不了啊，哈，與其說這是個掃描器不如說是個文件查找器更好。但我并不是說這個程序不好，相反這個程序可以提高效率，問題是看你怎樣使用，如果你能善于利用cgichk.dat這個文件的話。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯系alex-e#qq.com處理。