
is the attack string echoed in the 404 page anywhere? those should match on the content with a regex, and only trigger if that raw string is found.<br><br><div class="gmail_quote">On Mon, Nov 19, 2012 at 12:51 PM, Geoff Galitz <span dir="ltr"><<a href="mailto:geoff@galitz.org" target="_blank">geoff@galitz.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

If I use curl -v to inspect it, it shows as a 404, though we return a<br>

pretty big page with that.<br>

<br>

It seems like all of these false positives are XSS related.  When I issue<br>

that URL manually (in a web browser or via curl) I get the expected custom<br>

404 page.<br>

<br>

Among the vast volume of output from nikto are lines like this:<br>

<br>

+ OSVDB-651:<br>

/cgi-local/cgiemail-1.6/cgicso?query=<script>alert('Vulnerable')</script>:<br>

This CGI is vulnerable to Cross Site Scripting (XSS).<br>

<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>

+ OSVDB-651:<br>

/cgi-local/cgiemail-1.4/cgicso?query=<script>alert('Vulnerable')</script>:<br>

This CGI is vulnerable to Cross Site Scripting (XSS).<br>

<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>

+ OSVDB-7022:<br>

/calendar.php?year=<script>alert(document.cookie);</script>&month=03&day=05:<br>

DCP-Portal v5.3.1 is vulnerable to  Cross Site Scripting (XSS).<br>

<a href="http://www.cert.org/advisories/CA-2000-02.html" target="_blank">http://www.cert.org/advisories/CA-2000-02.html</a>.<br>

<br>

It could be that my theory on why this is happening is just plain wrong.<br>

<span class="HOEnZb"><font color="#888888"><br>

-G<br>

</font></span><div class="HOEnZb"><div class="h5"><br>

<br>

> That should work. what is the response code you're sending for 404s, is it<br>

> 200 or something else?<br>

><br>

> Also, you can put them in udb_404_strings so an update won't step on your<br>

> own changes.<br>

><br>

> -Sullo<br>

><br>

> On Mon, Nov 19, 2012 at 12:06 PM, Geoff Galitz <<a href="mailto:geoff@galitz.org">geoff@galitz.org</a>> wrote:<br>

><br>

>><br>

>><br>

>> Hi all.<br>

>><br>

>> I am getting what seem to be false positives.  I suspect nikto is not<br>

>> recognizing the custom 404s we send out.  I've added some of the text<br>

>> and<br>

>> some of the unique code of our 404 to db_404_strings but it does not<br>

>> seem<br>

>> to help.<br>

>><br>

>> I am wondering if I need to do anything special after simply adding some<br>

>> text to that file?  Currently I have this:  <div id="not-found-content"<br>

>> style="bottom: 98px;"><br>

>><br>

>> Would special punctuation cause a problem?<br>

>><br>

>> -G<br>

>><br>

>><br>

>><br>

>> ------------------------------<br>

>> Geoff Galitz<br>

>> <a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>

>><br>

>> _______________________________________________<br>

>> Nikto-discuss mailing list<br>

>> <a href="mailto:Nikto-discuss@attrition.org">Nikto-discuss@attrition.org</a><br>

>> <a href="https://attrition.org/mailman/listinfo/nikto-discuss" target="_blank">https://attrition.org/mailman/listinfo/nikto-discuss</a><br>

>><br>

><br>

><br>

><br>

> --<br>

><br>

> <a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>

><br>

<br>

<br>

------------------------------<br>

Geoff Galitz<br>

<a href="http://www.galitz.org" target="_blank">http://www.galitz.org</a><br>

<br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a><br>