关于webscanner的剖析脚本之家mingxing - 凯发娱乐

关于webscanner的剖析脚本之家mingxing

2019-02-02 11:42:28 | 作者: 鸿志 | 标签: 程序,文件,问题 | 浏览: 5000

前几天风重用这给扫描软件扫了某些国内的网站,也包含了咱们自己的网站,然后说了咱们网站的安全问题,后来我细心看了扫出来的缝隙陈述,也把这个软件运用了一下,发现这个软件扫出来的陈述并不一定精确,所陈述的缝隙也不一定会有风险这个程序是一个适当简略的程序,能够说仅仅适当于一个批处理指令那样,程序运转的时分查找一个叫cgichk.dat的文件,然后查询服务器上是否有cgichk.dat中指明的文件存在,假如存在就陈述find xxxxxxxxx ,比如说在cgichk.dat 中有一行是/cgi-bin/Count.cgi假如服务器上有的话,程序会陈述 find @/cgi-bin/Count.cgi,这其实和咱们在浏览器上打入或许telnet到服务器的80端口上get是相同的,程序仅仅把这个进程主动化了,不必咱们手艺一步一步来,不过,即便找到了缝隙(其实是存在一个已知有安全问题的文件),也未必就是的确的,就上面说的Count.cgi来说,这是一个计数器程序,很多得网站都会有的,但是据我所知,2.5版别今后的并不存在安全问题,但程序不能判别他的版其他,只需有Count.cgi这个文件的存在,他就会陈述出来,即便这个文件并没有问题的,相反,假如我把一个有安全问题的Count.cgi放到服务器的/cgi-bin/count/Count.cgi的时分他就不会陈述了,由于在cgichk.dat中现已定死了是/cgi-bin/Count.cgi,在其他当地他就找不到了,所以说即便是他能扫出来的那些,也未必就是有问题,假如我把cgichk.dat中的每一个文件都放到服务器上,但每个文件都是0字节的,呵呵,他悉数陈述出来,但是你能运用吗?再说,假如服务器上的Count.cgi并不是很有名的那一个计数器程序而是我自己写的一个cgi程序呢?或许我写的这个问题更大,缝隙更多,仍是能够得到root的那种,但是你并没有看过我的源程序,你也运用不了啊,哈,与其说这是个扫描器不如说是个文件查找器更好。但我并不是说这个程序欠好,相反这个程序能够进步功率,问题是看你怎样运用,假如你能长于运用cgichk.dat这个文件的话。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章