نحوه یافتن آسیب پذیری های سرور وب با Nikto Scanner

 سرور وب خود را به دلیل آسیب پذیری ها ، پیکربندی غلط به صورت رایگان با اسکنر Nikto اسکن کنید


97٪ برنامه تست شده توسط موج اعتماد یک یا چند ضعف داشت.

برنامه های قابل اعتماد و آسیب پذیر

و 14٪ دخالت مورد بررسی به دلیل سوء تنظیمات نادرست بود. پیکربندی غلط می تواند منجر به خطرات جدی شود.

عوامل اعتماد

تعدادی از اسکنر آسیب پذیری آنلاین برای آزمایش برنامه های وب شما در اینترنت وجود دارد.

با این حال ، اگر به دنبال آزمایش برنامه های Intranet یا برنامه های داخلی هستید ، می توانید از آن استفاده کنید نیکو اسکنر وب.

Nikto اسکنر منبع باز است که توسط آن نوشته شده است کریس سولو, و می توانید با هر سرور وب (Apache ، Nginx ، IHS ، OHS ، Litespeed و غیره) استفاده کنید. به نظر می رسد یک ابزار داخلی عالی برای اسکن سرور وب است.

اسکن بیش از حد Nikto است 6700 مورد برای تشخیص پیکربندی غلط ، پرونده های مخاطره آمیز ، و غیره. برخی از ویژگی ها شامل موارد زیر است.

  • می توانید گزارش را در HTML ، XML ، CSV ذخیره کنید
  • از SSL پشتیبانی می کند
  • پورت های مختلف را روی سرور اسکن کنید
  • زیر دامنه را پیدا کنید
  • شمارش کاربر Apache
  • بررسی اجزای منسوخ
  • مکان های پارکینگ را تشخیص دهید

بیایید با نصب و نحوه استفاده از این ابزار شروع کنیم

این را می توان در Kali Linux یا سیستم عامل های دیگر (Windows، Mac OSX، Redhat، Debian، Ubuntu، BackTrack، CentOS و غیره) نصب کرد که از Perl پشتیبانی می کند..

در این مقاله نحوه استفاده از آن را توضیح خواهم داد کالی لینوکس & CentOS.

توجه داشته باشید: انجام اسکن درخواست زیادی به سرور وب شما می کند.

با استفاده از Nikto در Kali Linux

از آنجا که در کالی ساخته شده است ، دیگر نیازی به نصب چیزی ندارید.

  • وارد Kali Linux شوید
  • به برنامه ها بروید >> تجزیه و تحلیل آسیب پذیری و کلیک بر روی nikto

kali-linux-nitko

این ترمینال را باز می کند که می توانید اسکن را در مقابل سرور وب خود اجرا کنید.

چندین روش / نحو وجود دارد که می توانید برای اجرای اسکن استفاده کنید. با این حال ، سریعترین راه برای انجام این کار؛

# nikto –h $ webserverurl

فراموش نکنید که webserverurl $ را با IP یا FQDN واقعی سرور وب خود تغییر دهید.

[ایمیل محافظت شده]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ هدف IP: 128.199.222.244
+ نام میزبان هدف: thewebchecker.com
+ بندر هدف: 80
+ زمان شروع: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ سرور: Apache / 2.4.18 (اوبونتو)
+ نشت سرور از طریق ETags ، هدر یافت شده با پرونده / ، زمینه ها: 0x2c39 0x53a938fc104ed
+ عنوان ضد X-Frame-Options موجود نیست.
+ هدر X-XSS-Protection تعریف نشده است. این هدر می تواند برای محافظت در برابر برخی از اشکال XSS به نماینده کاربر اشاره کند
+ عنوان X-Content-Type-Options تنظیم نشده است. این می تواند به نماینده کاربر اجازه دهد محتوای سایت را به روشی متفاوت با نوع MIME ارائه دهد
+ هیچ راهنمایی CGI یافت نشد (از “-C all” استفاده کنید تا اجبار همه چک های احتمالی را بررسی کنید)
+ روشهای HTTP مجاز: GET ، HEAD ، POST ، OPTIONS
+ عنوان غیر معمول ‘x-ob_mode’ یافت شد ، با محتویات: 1
+ OSVDB-3092: / manual /: کتابچه راهنمای سرور وب یافت شد.
+ OSVDB-3268: / manual / images /: فهرست بندی فهرست یافت شد.
+ OSVDB-3233: / icon / README: پرونده پیش فرض آپاچی یافت شد.
+ / phpmyadmin /: دایرکتوری phpMyAdmin یافت شد
+ 7596 درخواست: 0 خطا و 10 مورد در مورد میزبان از راه دور گزارش شده است
+ زمان پایان: 2016-08-22 06:54:44 (GMT8) (1291 ثانیه)
—————————————————————————
+ 1 میزبان آزمایش شده است

همانطور که می بینید اسکن فوق در برابر پیکربندی پیش فرض آپاچی 2.4 است و موارد بسیاری نیاز به توجه دارد.

  • Clickjacking Attack
  • نوع امنیتی MIME

می توانید Apache Security من را رجوع کنید & راهنمای سخت شدن برای رفع این موارد.

استفاده از Nikto در CentOS

  • به CentOS یا هر سیستم عامل مبتنی بر لینوکس وارد شوید
  • آخرین نسخه را از گیتوب با استفاده از wget

wget https://github.com/sullo/nikto/archive/master.zip .

  • با استفاده از دستور unzip استخراج کنید

unzip master.zip

  • این پوشه جدید با نام “nikto-master” ایجاد می کند
  • داخل پوشه nikto-master بروید>برنامه

cd / nikto-master / program

اجرا کردن nikto.pl با دامنه هدف

توجه داشته باشید: ممکن است هشدار زیر را دریافت کنید.

+ هشدار: ماژول JSON :: PP وجود ندارد. قابلیت ذخیره سازی و پخش مجدد قابل استفاده نیست.

اگر این اخطار را دریافت می کنید ، باید موارد زیر را با ماژول Perl نصب کنید.

# yum install perl-CPAN *

پس از نصب ، nikto را اجرا کنید و باید خوب باشد.

این بار ، من اسکن را علیه سرور وب Nginx انجام می دهم تا ببینم عملکرد آن چگونه است.

./nikto.pl -h 128.199.222.244

nikto-nginx

بنابراین همانطور که می توانید Nginx پیش فرض را مشاهده کنید ، پیکربندی سرور وب نیز آسیب پذیر است و این راهنمای امنیتی به شما در کاهش آنها کمک می کند.

پیش بروید و با نرم افزار Nikto بازی کنید و در صورت علاقه به یادگیری بیشتر ، این موضوع را بررسی کنید دوره تست هک و نفوذ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map