关于webscanner的分析

近日风起，我使用了一款扫描软件，对多个国内网站进行了安全扫描，包括我们自己的网站。在初步浏览了软件提供的漏洞报告后，我发现这款软件虽然能迅速找出可能的风险点，但其报告并不总能准确反映实际的安全状况。

这款软件工作原理相当直接，仿佛是一个批处理命令般的程序。在运行时，它会寻找名为cgichk.dat的文件，并在服务器上查找此文件中列出的文件是否存在。如果发现文件匹配，它就会报告出来，例如找到特定的cgi文件路径 /cgi-bin/Count.cgi。尽管这个过程自动化了原本需要我们手动进行的步骤，但找到的漏洞并不一定真实存在。

以Count.cgi为例，这是一个常见的计数器程序，许多网站都会使用。据我所知，其2.5版本之后并不存在安全问题。这款扫描软件无法区分不同版本的Count.cgi，只要服务器上存在该文件，它就会报告出来，即使这个文件实际上并无任何问题。相反，如果我将一个有安全问题的Count.cgi放到服务器的特定位置，而软件仅针对预定的路径进行搜索，那么它可能无法发现这个潜在的风险点。即使是软件能够扫描到的结果也不一定可信。

如果我在服务器上放置大量空的cgichk.dat文件副本，每个文件都是零字节大小，软件会报告所有这些文件存在。这些空洞的报告并不能提供任何有价值的信息。同理，如果服务器上的Count.cgi并非广为人知的计数器程序，而是我自己编写的程序，可能隐藏着更大的漏洞和潜在风险。如果不了解我的源代码，即使有漏洞也难以利用。与其说这是一个扫描软件，不如说它是一个文件查找器更为贴切。这并不是对软件的否定。实际上，它确实能够提高工作效率。关键在于如何运用它，尤其是如何巧妙利用cgichk.dat这个文件。对于那些希望通过扫描工具提高网络安全性的用户来说，理解和运用这类工具的方法至关重要。正确的使用方式才能充分发挥其价值。否则可能会因误判导致更大的风险隐患。