本文概述
- 在Kali Linux上使用Nikto
- 在CentOS上使用Nikto
Trustwave测试的应用程序中有97%具有一个或多个弱点。
文章图片
14%的调查入侵是由于配置错误所致。配置错误会导致严重的风险。
文章图片
有许多在线漏洞扫描程序可以在Internet上测试你的Web应用程序。
但是, 如果你要测试Intranet应用程序或内部应用程序, 则可以使用Nikto Web扫描仪。
Nikto是由Chris Sullo编写的开源扫描仪, 可以与任何Web服务器(Apache, Nginx, IHS, OHS, Litespeed等)一起使用。听起来像是用于Web服务器扫描的完美内部工具。
Nikto扫描了6700多个项目, 以检测配置错误, 危险文件等, 其中一些功能包括:
- 你可以将报告保存为HTML, XML, CSV
- 支持SSL
- 扫描服务器上的多个端口
- 查找子域
- Apache用户枚举
- 检查过时的组件
- 检测停车位
可以将其安装在支持Perl的Kali Linux或其他OS(Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS等)上。
在本文中, 我将解释如何在Kali Linux和CentOS上使用。
注意:执行扫描会对你的Web服务器发出很多请求。
在Kali Linux上使用Nikto 由于它是内置在Kali中的, 因此你无需安装任何东西。
- 登录到Kali Linux
- 转到应用程序> > 漏洞分析, 然后单击nikto
文章图片
它将打开终端, 你可以在其中对Web服务器运行扫描。
你可以使用多种方式/语法来运行扫描。但是, 最快的方法是:
# nikto –h $webserverurl不要忘记使用你的网络服务器实际IP或FQDN更改$ webserverurl。
[email
protected]:~# nikto -h thewebchecker.com- Nikto v2.1.6---------------------------------------------------------------------------+ Target IP:
128.199.222.244+ Target Hostname:
thewebchecker.com+ Target Port:
80+ Start Time:
2016-08-22 06:33:13 (GMT8)---------------------------------------------------------------------------+ Server: Apache/2.4.18 (Ubuntu)+ Server leaks inodes via ETags, header found with file /, fields: 0x2c39 0x53a938fc104ed+ The anti-clickjacking X-Frame-Options header is not present.+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type+ No CGI Directories found (use '-C all' to force check all possible dirs)+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS+ Uncommon header 'x-ob_mode' found, with contents: 1+ OSVDB-3092: /manual/: Web server manual found.+ OSVDB-3268: /manual/images/: Directory indexing found.+ OSVDB-3233: /icons/README: Apache default file found.+ /phpmyadmin/: phpMyAdmin directory found+ 7596 requests: 0 error(s) and 10 item(s) reported on remote host+ End Time:
2016-08-22 06:54:44 (GMT8) (1291 seconds)---------------------------------------------------------------------------+ 1 host(s) tested如你所见, 以上扫描是针对Apache 2.4的默认配置的, 有许多项目需要注意。
- 点击劫持攻击
- MIME类型安全性
在CentOS上使用Nikto
- 登录到CentOS或任何基于Linux的操作系统
- 使用wget从Github下载最新版本
wget https://github.com/sullo/nikto/archive/master.zip .- 使用解压缩命令提取
unzip master.zip- 它将创建一个名为” nikto-master” 的新文件夹。
- 进入文件夹nikto-master> program
cd /nikto-master/program使用目标域执行nikto.pl
注意:你可能会收到以下警告。
+ WARNING: Module JSON::PP missing. -Savedir and replay functionality cannot be used.如果收到此警告, 则需要按照以下说明安装Perl模块。
# yum install perl-CPAN*一旦安装, 请执行nikto, 应该没问题。
这次, 我将对Nginx Web服务器进行扫描以查看其性能。
./nikto.pl -h 128.199.222.244
文章图片
因此, 正如你所看到的, 默认的Nginx一样, Web服务器配置也容易受到攻击, 因此本安全指南将帮助你减轻负担。
继续使用Nikto软件, 如果有兴趣了解更多信息, 请查看此hacking和渗透测试课程。
推荐阅读
- Nginx Web服务器安全性和强化指南
- 如何查找SQL注入攻击漏洞()
- 8种用于网络管理的最佳IP扫描仪工具
- 监视网站变化的7大工具
- 11种用于监视云和脚本中SSL证书到期的工具
- 如何在Nginx中实现ModSecurity OWASP核心规则集
- 改善移动应用程序安全性的8个技巧
- 9个移动应用扫描程序以查找安全漏洞
- Kali Linux在VMWare Fusion上的安装指南[带截图]