Is it actually vulnerable or escaped or ... ? The solution depends on the actual way this is done, safely or not!<br><br><div class="gmail_quote">On Mon, Nov 19, 2012 at 1:05 PM, Geoff Galitz <span dir="ltr"><<a href="mailto:geoff@galitz.org" target="_blank">geoff@galitz.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
Ah ha...  indeed the string is being echoed in the 404 doc.  What's the<br>
best way to deal with that?<br>
<span class="HOEnZb"><font color="#888888"><br>
-G<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
> is the attack string echoed in the 404 page anywhere? those should match<br>
> on<br>
> the content with a regex, and only trigger if that raw string is found.<br>
><br>
> On Mon, Nov 19, 2012 at 12:51 PM, Geoff Galitz <<a href="mailto:geoff@galitz.org">geoff@galitz.org</a>> wrote:<br>
><br>
>><br>
>> If I use curl -v to inspect it, it shows as a 404, though we return a<br>
>> pretty big page with that.<br>
>><br>
>> It seems like all of these false positives are XSS related.  When I<br>
>> issue<br>
>> that URL manually (in a web browser or via curl) I get the expected<br>
>> custom<br>
>> 404 page.<br>
>><br>
>> Among the vast volume of output from nikto are lines like this:<br>
>><br>
>> + OSVDB-651:<br>
>> /cgi-local/cgiemail-1.6/cgicso?query=<script>alert('Vulnerable')</script>:<br>
>> This CGI is vulnerable to Cross Site Scripting (XSS).<br>
>> <a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
>> + OSVDB-651:<br>
>> /cgi-local/cgiemail-1.4/cgicso?query=<script>alert('Vulnerable')</script>:<br>
>> This CGI is vulnerable to Cross Site Scripting (XSS).<br>
>> <a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
>> + OSVDB-7022:<br>
>><br>
>> /calendar.php?year=<script>alert(document.cookie);</script>&month=03&day=05:<br>
>> DCP-Portal v5.3.1 is vulnerable to  Cross Site Scripting (XSS).<br>
>> <a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
>><br>
>> It could be that my theory on why this is happening is just plain wrong.<br>
>><br>
>> -G<br>
>><br>
>><br>
>> > That should work. what is the response code you're sending for 404s,<br>
>> is<br>
>> it<br>
>> > 200 or something else?<br>
>> ><br>
>> > Also, you can put them in udb_404_strings so an update won't step on<br>
>> your<br>
>> > own changes.<br>
>> ><br>
>> > -Sullo<br>
>> ><br>
>> > On Mon, Nov 19, 2012 at 12:06 PM, Geoff Galitz <<a href="mailto:geoff@galitz.org">geoff@galitz.org</a>><br>
>> wrote:<br>
>> ><br>
>> >><br>
>> >><br>
>> >> Hi all.<br>
>> >><br>
>> >> I am getting what seem to be false positives.  I suspect nikto is not<br>
>> >> recognizing the custom 404s we send out.  I've added some of the text<br>
>> >> and<br>
>> >> some of the unique code of our 404 to db_404_strings but it does not<br>
>> >> seem<br>
>> >> to help.<br>
>> >><br>
>> >> I am wondering if I need to do anything special after simply adding<br>
>> some<br>
>> >> text to that file?  Currently I have this:  <div<br>
>> id="not-found-content"<br>
>> >> style="bottom: 98px;"><br>
>> >><br>
>> >> Would special punctuation cause a problem?<br>
>> >><br>
>> >> -G<br>
>> >><br>
>> >><br>
>> >><br>
>> >> ------------------------------<br>
>> >> Geoff Galitz<br>
>> >> <a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>
>> >><br>
>> >> _______________________________________________<br>
>> >> Nikto-discuss mailing list<br>
>> >> <a href="mailto:Nikto-discuss@attrition.org">Nikto-discuss@attrition.org</a><br>
>> >> <a href="https://attrition.org/mailman/listinfo/nikto-discuss" target="_blank">https://attrition.org/mailman/listinfo/nikto-discuss</a><br>
>> >><br>
>> ><br>
>> ><br>
>> ><br>
>> > --<br>
>> ><br>
>> > <a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>
>> ><br>
>><br>
>><br>
>> ------------------------------<br>
>> Geoff Galitz<br>
>> <a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>
>><br>
>><br>
><br>
><br>
> --<br>
><br>
> <a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>
><br>
<br>
<br>
------------------------------<br>
Geoff Galitz<br>
<a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>