is the attack string echoed in the 404 page anywhere? those should match on the content with a regex, and only trigger if that raw string is found.<br><br><div class="gmail_quote">On Mon, Nov 19, 2012 at 12:51 PM, Geoff Galitz <span dir="ltr"><<a href="mailto:geoff@galitz.org" target="_blank">geoff@galitz.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
If I use curl -v to inspect it, it shows as a 404, though we return a<br>
pretty big page with that.<br>
<br>
It seems like all of these false positives are XSS related.  When I issue<br>
that URL manually (in a web browser or via curl) I get the expected custom<br>
404 page.<br>
<br>
Among the vast volume of output from nikto are lines like this:<br>
<br>
+ OSVDB-651:<br>
/cgi-local/cgiemail-1.6/cgicso?query=<script>alert('Vulnerable')</script>:<br>
This CGI is vulnerable to Cross Site Scripting (XSS).<br>
<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
+ OSVDB-651:<br>
/cgi-local/cgiemail-1.4/cgicso?query=<script>alert('Vulnerable')</script>:<br>
This CGI is vulnerable to Cross Site Scripting (XSS).<br>
<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
+ OSVDB-7022:<br>
/calendar.php?year=<script>alert(document.cookie);</script>&month=03&day=05:<br>
DCP-Portal v5.3.1 is vulnerable to  Cross Site Scripting (XSS).<br>
<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>
<br>
It could be that my theory on why this is happening is just plain wrong.<br>
<span class="HOEnZb"><font color="#888888"><br>
-G<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
> That should work. what is the response code you're sending for 404s, is it<br>
> 200 or something else?<br>
><br>
> Also, you can put them in udb_404_strings so an update won't step on your<br>
> own changes.<br>
><br>
> -Sullo<br>
><br>
> On Mon, Nov 19, 2012 at 12:06 PM, Geoff Galitz <<a href="mailto:geoff@galitz.org">geoff@galitz.org</a>> wrote:<br>
><br>
>><br>
>><br>
>> Hi all.<br>
>><br>
>> I am getting what seem to be false positives.  I suspect nikto is not<br>
>> recognizing the custom 404s we send out.  I've added some of the text<br>
>> and<br>
>> some of the unique code of our 404 to db_404_strings but it does not<br>
>> seem<br>
>> to help.<br>
>><br>
>> I am wondering if I need to do anything special after simply adding some<br>
>> text to that file?  Currently I have this:  <div id="not-found-content"<br>
>> style="bottom: 98px;"><br>
>><br>
>> Would special punctuation cause a problem?<br>
>><br>
>> -G<br>
>><br>
>><br>
>><br>
>> ------------------------------<br>
>> Geoff Galitz<br>
>> <a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>
>><br>
>> _______________________________________________<br>
>> Nikto-discuss mailing list<br>
>> <a href="mailto:Nikto-discuss@attrition.org">Nikto-discuss@attrition.org</a><br>
>> <a href="https://attrition.org/mailman/listinfo/nikto-discuss" target="_blank">https://attrition.org/mailman/listinfo/nikto-discuss</a><br>
>><br>
><br>
><br>
><br>
> --<br>
><br>
> <a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>
><br>
<br>
<br>
------------------------------<br>
Geoff Galitz<br>
<a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>