Hogyan lehet megtalálni a webszerver biztonsági réseit a Nikto Scanner segítségével

 Vizsgálja meg webszerverét sebezhetőségek és téves konfigurációk szempontjából INGYEN a Nikto szkennerrel


97% alkalmazás által tesztelt Trustwave volt egy vagy több gyengesége.

Trustwave sérülékeny-alkalmazások

És 14% A vizsgált betolakodás téves konfigurációja okozta. A téves konfiguráció komoly kockázatokhoz vezethet.

Trustwave tényezők

Számos online sebezhetőségi szkenner tesztelheti webes alkalmazásokat az interneten.

Ha azonban intranet vagy házon belüli alkalmazásokat szeretne tesztelni, akkor használhatja Nikto internetes szkenner.

A Nikto egy nyílt forrású szkenner, amelyet írta Chris Sullo, és bármilyen webszerverrel (Apache, Nginx, IHS, OHS, Litespeed stb.) használható. Úgy hangzik, mint egy tökéletes házon belüli eszköz a webszerver szkenneléséhez.

A Nikto átkutatta 6700 elem téves konfiguráció, kockázatos fájlok stb. felismerésére, és a szolgáltatások néhány eleme tartalmazza;

  • A jelentést HTML, XML, CSV formátumban mentheti
  • Támogatja az SSL-t
  • Szkenneljen több portot a szerveren
  • Aldomain keresése
  • Apache felhasználói felsorolás
  • Elavult alkatrészek ellenőrzése
  • Fedezze fel a parkolóhelyeket

Kezdjük a telepítéssel és az eszköz használatával

Ez telepíthető a Kali Linux rendszerre vagy más Perl-t támogató operációs rendszerre (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS stb.).

Ebben a cikkben elmagyarázom, hogyan kell használni Kali Linux & CentOS.

Jegyzet: a szkennelés végrehajtása sok kérést tesz a webszerverre.

A Nikto használata a Kali Linux rendszeren

Mivel Kali-ban beépítették, nem kell telepítenie semmit.

  • Bejelentkezés a Kali Linux rendszerbe
  • Lépjen az Alkalmazások oldalra >> Sebezhetőség elemzése és kattintson a nikto elemre

Kali-linux-nitko

Megnyitja a terminált, ahol futtathatja a szkennelést a webszerverrel szemben.

A vizsgálat elvégzéséhez többféle módszer / szintaxis használható. Ennek leggyorsabb módja azonban;

# nikto –h $ webszerver

Ne felejtsd el megváltoztatni a $ webserverurl webszerver aktuális IP-jét vagy FQDN-jét.

[Email protected]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Cél IP: 128.199.222.244
+ Célgépnév: thewebchecker.com
+ Célport: 80
+ Kezdési idő: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Szerver: Apache / 2.4.18 (Ubuntu)
+ A szerver beszivárog az ETags-on keresztül, fejléc található a fájl / mezőkkel: 0x2c39 0x53a938fc104ed
+ A kattintás elleni X-Frame-Options fejléc nincs jelen.
+ Az X-XSS-Protection fejléc nincs meghatározva. Ez a fejléc utalhat a felhasználói ügynökre, hogy megvédje az XSS egyes formáit
+ Az X-Content-Type-Options fejléc nincs beállítva. Ez lehetővé tenné a felhasználói ügynök számára, hogy a webhely tartalmát a MIME típusától eltérő módon jelenítse meg
+ Nem található CGI könyvtárak (a „-C all” használatával ellenőrizze az összes lehetséges dirt)
+ Engedélyezett HTTP módszerek: GET, HEAD, POST, OPTIONS
+ Nem található az ‘x-ob_mode’ fejléc, tartalma: 1
+ OSVDB-3092: / manual /: Talált webszerver kézikönyv.
+ OSVDB-3268: / kézi / images /: Találat könyvtár-indexelésre.
+ OSVDB-3233: / icons / README: Az Apache alapértelmezett fájl található.
+ / phpmyadmin /: a phpMyAdmin könyvtár található
+ 7596 kérés: 0 hiba (ok) és 10 elem (ek) jelentése a távoli gazdagépen
+ Vége: 2016-08-22 06:54:44 (GMT8) (1291 másodperc)
—————————————————————————
+ 1 gazdagépet teszteltünk

Mint láthatja, a fenti vizsgálat ellentétes az Apache 2.4 alapértelmezett konfigurációjával, és sok elemre figyelni kell.

  • Clickjacking Attack
  • MIME típusú biztonság

Hivatkozhat az Apache Biztonságomra & Edzési útmutató ezek javításához.

A Nikto használata a CentOS-on

  • Jelentkezzen be a CentOS vagy bármely Linux alapú operációs rendszerbe
  • Töltse le a legújabb verziót a Github wget használatával

wget https://github.com/sullo/nikto/archive/master.zip .

  • Kicsomagolás a unzip paranccsal

unzip master.zip

  • Új mappát fog létrehozni, melynek neve „nikto-master”.
  • Menj be a nikto-master mappába>program

cd / nikto-master / program

kivégez nikto.pl a cél domainnel

Jegyzet: a következő figyelmeztetést kaphatja.

+ VIGYÁZAT: A JSON :: PP modul hiányzik. -Mentési és visszajátszási funkciók nem használhatók.

Ha ezt a figyelmeztetést kapja, akkor az alábbiak szerint telepítenie kell a Perl modult.

# yum install perl-CPAN *

Telepítés után futtassa a nikto programot, és rendben legyen.

Ezúttal letapogatást futtatom az Nginx webszerver ellen, hogy megnézem, hogyan teljesít.

./nikto.pl -h 128.199.222.244

nikto-nginx

Amint láthatja az alapértelmezett Nginx-et, a webszerver konfigurációja szintén sebezhető, és ez a biztonsági útmutató segít enyhíteni őket.

Menj tovább és játssz körül a Nikto szoftverrel, és ha többet szeretnél tudni, nézd meg ezt hackelés és penetráció tesztelési tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map