亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

關(guān)于webscanner的分析

互聯(lián)網(wǎng)   發(fā)布時間:2008-10-08 22:13:05   作者:佚名   我要評論
前幾天風(fēng)起用這給掃描軟件掃了某些國內(nèi)的網(wǎng)站,也包括了我們自己的網(wǎng)站,然后說了我們網(wǎng)站的安全問題,后來我仔細(xì)看了掃出來的漏洞報(bào)告,也把這個軟件使用了一下,發(fā)現(xiàn)這個軟件掃出來的報(bào)告并不一定準(zhǔn)確,所報(bào)告的漏洞也不一定會有危險這個程序是一個相當(dāng)簡單的程序,
前幾天風(fēng)起用這給掃描軟件掃了某些國內(nèi)的網(wǎng)站,也包括了我們自己的網(wǎng)站,然后說了我們網(wǎng)站的安全問題,后來我仔細(xì)看了掃出來的漏洞報(bào)告,也把這個軟件使用了一下,發(fā)現(xiàn)這個軟件掃出來的報(bào)告并不一定準(zhǔn)確,所報(bào)告的漏洞也不一定會有危險這個程序是一個相當(dāng)簡單的程序,可以說只是相當(dāng)于一個批處理命令那樣,程序運(yùn)行的時候查找一個叫cgichk.dat的文件,然后查詢服務(wù)器上是否有cgichk.dat中指明的文件存在,如果存在就報(bào)告find xxxxxxxxx ,比如說在cgichk.dat 中有一行是/cgi-bin/Count.cgi如果服務(wù)器上有的話,程序會報(bào)告 find @/cgi-bin/Count.cgi,這其實(shí)和我們在瀏覽器上打入或者telnet到服務(wù)器的80端口上get是一樣的,程序只是把這個過程自動化了,不用我們手工一步一步來,不過,即使找到了漏洞(其實(shí)是存在一個已知有安全問題的文件),也未必就是確實(shí)的,就上面說的Count.cgi來說,這是一個計(jì)數(shù)器程序,很多得網(wǎng)站都會有的,可是據(jù)我所知,2.5版本以后的并不存在安全問題,但程序不能判斷他的版本的,只要有Count.cgi這個文件的存在,他就會報(bào)告出來,即使這個文件并沒有問題的,相反,如果我把一個有安全問題的Count.cgi放到服務(wù)器的/cgi-bin/count/Count.cgi的時候他就不會報(bào)告了,因?yàn)樵赾gichk.dat中已經(jīng)定死了是/cgi-bin/Count.cgi,在別的地方他就找不到了,所以說即使是他能掃出來的那些,也未必就是有問題,如果我把cgichk.dat中的每一個文件都放到服務(wù)器上,但每個文件都是0字節(jié)的,呵呵,他全部報(bào)告出來,可是你能利用嗎?再說,如果服務(wù)器上的Count.cgi并不是很有名的那一個計(jì)數(shù)器程序而是我自己寫的一個cgi程序呢?也許我寫的這個問題更大,漏洞更多,還是可以得到root的那種,可是你并沒有看過我的源程序,你也利用不了啊,哈,與其說這是個掃描器不如說是個文件查找器更好。但我并不是說這個程序不好,相反這個程序可以提高效率,問題是看你怎樣使用,如果你能善于利用cgichk.dat這個文件的話。

相關(guān)文章

最新評論