Cum să găsiți vulnerabilități pentru serverul web cu Nikto Scanner

 Scanează-ți serverul web pentru vulnerabilități, configurare greșită în GRATUIT cu scanerul Nikto


97% a cererii testate de Trustwave a avut una sau mai multe puncte slabe.

Trustwave-vulnerabile-aplicații

Și 14% de intruziune investigată s-a datorat unei configurații greșite. Configurarea greșită poate duce la riscuri grave.

Trustwave-factori

Există un număr de scaner online de vulnerabilitate pentru a testa aplicațiile web pe Internet.

Cu toate acestea, dacă doriți să testați aplicații Intranet sau aplicații interne, atunci puteți utiliza Nikto scaner web.

Nikto este un scaner open source scris de Chris Sullo, și puteți utiliza cu orice servere web (Apache, Nginx, IHS, OHS, Litespeed, etc.). Pare un instrument perfect intern pentru scanarea serverului web.

Nikto scanează peste 6700 articole pentru a detecta configurații greșite, fișiere riscante etc., iar unele dintre caracteristici includ;

  • Puteți salva raportul în HTML, XML, CSV
  • Suporta SSL
  • Scanați mai multe porturi pe server
  • Găsiți subdomeniul
  • Enumerarea utilizatorului Apache
  • Verificări pentru componente depășite
  • Detectează locurile de parcare

Să începem cu instalarea și cum să utilizăm acest instrument

Acesta poate fi instalat pe Kali Linux sau alte sisteme de operare (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS etc.) care acceptă Perl..

În acest articol, vă voi explica modul de utilizare Kali Linux & CentOS.

Notă: efectuarea scanării face o mulțime de solicitări către serverul dvs. web.

Folosind Nikto pe Kali Linux

Deoarece este construit în Kali, nu trebuie să instalați nimic.

  • Conectați-vă la Kali Linux
  • Accesați Aplicații >> Analiza vulnerabilității și faceți clic pe nikto

kali-linux-nitko

Acesta va deschide terminalul unde puteți rula scanarea pe serverul dvs. web.

Există mai multe moduri / sintaxe pe care le puteți utiliza pentru a rula scanarea. Cu toate acestea, cel mai rapid mod de a face este;

# nikto –h $ webserverurl

Nu uitați să schimbați $ webserverurl cu IP-ul propriu sau cu FQDN al serverului dvs. web.

[Email protected]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ IP țintă: 128.199.222.244
+ Nume gazdă țintă: thewebchecker.com
+ Port țintă: 80
+ Ora de pornire: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Server: Apache / 2.4.18 (Ubuntu)
+ Inode scurge server prin ETags, antet găsit cu fișier /, câmpuri: 0x2c39 0x53a938fc104ed
+ Antetul anti-clickjacking X-Frame-Options nu este prezent.
+ Antetul X-XSS-Protection nu este definit. Acest antet poate sugera agentul utilizator să se protejeze împotriva unor forme de XSS
+ Antetul X-Content-Type-Options nu este setat. Acest lucru ar putea permite agentului utilizator să redea conținutul site-ului într-o manieră diferită de tipul MIME
+ Nu s-au găsit niciun director CGI (folosiți „-C all” pentru a forța să verifice toate dirsurile posibile)
+ Metode HTTP permise: GET, HEAD, POST, OPȚIUNI
+ S-a găsit antetul neobișnuit „x-ob_mode”, cu conținut: 1
+ OSVDB-3092: / manual /: Manual de server web găsit.
+ OSVDB-3268: / manual / images /: indexare de director găsită.
+ OSVDB-3233: / pictograme / README: a fost găsit fișierul implicit Apache.
+ / phpmyadmin /: directorul phpMyAdmin a fost găsit
+ 7596 solicitări: 0 eroare (e) și 10 articol (e) raportate pe gazdă la distanță
+ Ora de încheiere: 2016-08-22 06:54:44 (GMT8) (1291 secunde)
—————————————————————————
+ 1 gazdă (e) testată

După cum puteți vedea scanarea de mai sus este împotriva configurației implicite a Apache 2.4 și există multe elemente care necesită atenție.

  • Atacul cu clicuri
  • Securitate tip MIME

Puteți consulta Securitatea mea Apache & Ghid de intarire pentru remedierea acestora.

Folosind Nikto pe CentOS

  • Conectați-vă la CentOS sau la orice sistem de operare bazat pe Linux
  • Descărcați cea mai recentă versiune de la github folosind wget

wget https://github.com/sullo/nikto/archive/master.zip .

  • Extrageți folosind comanda de decuplare

dezlegați maestrul.zip

  • Va crea un nou folder numit „nikto-master”
  • Intrați în folderul nikto-master>program

cd / nikto-master / program

A executa nikto.pl cu domeniul țintă

Notă: este posibil să primiți următorul avertisment.

+ AVERTIZARE: Modulul JSON :: PP lipsește. -Funcționalitatea salvare și redare nu poate fi utilizată.

Dacă primiți acest avertisment, atunci trebuie să instalați modulul Perl după cum urmează.

# yum instalați perl-CPAN *

Odată instalat, executați nikto și ar trebui să fie bine.

De această dată, voi rula o scanare împotriva serverului web Nginx pentru a vedea cum funcționează.

./nikto.pl -h 128.199.222.244

Nikto-Nginx

Așa cum puteți vedea Nginx implicit, configurația serverului web este vulnerabilă și acest ghid de securitate vă va ajuta să le reduceți.

Continuați și jucați-vă cu software-ul Nikto și dacă sunteți interesat să aflați mai multe, consultați acest lucru cursul de hacking și penetrare.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map