• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Nikto: Сканер веб-сервера

lukino_bambino

New member
11.05.2019
4
0
BIT
1
Nikto - это сканер веб-сервера с открытым исходным кодом, который может выполнять всестороннее сканирование веб-серверов. Этот инструмент можно использовать для выявления уязвимостей на основе сервера, таких как неправильная настройка серверов и устаревшие серверы. Он также может определять программы и файлы, которые могут быть небезопасными, или программное обеспечение, которое неправильно настроено.

Nikto загружен длинным списком функций, которые позволяют ему эффективно выполнять тесты на веб-серверах в кратчайшие сроки. Этот инструмент можно использовать для сканирования на нескольких серверах, что делает его очень полезным при тестировании приложений для интрасети.

В настоящее время его можно использовать для сканирования более 6700 элементов с целью выявления любых основных уязвимостей на сервере. Nikto также можно использовать для проверки файлов журнала, чтобы определить другие элементы, которые могут быть неизвестны. Он также поддерживает сканирование нескольких портов, что позволяет запускать тесты на нескольких портах в течение одного сеанса. Все, что вам нужно сделать, это указать количество портов, на которых вы хотите выполнить сканирование.

В расширенных случаях использования такие параметры, как -mutate, могут использоваться для запуска комплексного сканирования на предполагаемых серверах. Техника мутации позволит вам объединить несколько тестов, чтобы сделать выполняемый тест более эффективным или целевым для веб-сервера.

При правильном использовании Nikto может не только действовать как сканер уязвимостей, но также может использоваться для получения дополнительной информации о серверах. Это может включать предметы, о которых пентестер или злоумышленник могут не знать изначально. Поскольку этот инструмент может быть полезен при сборе информации с веб-серверов, он не предназначен для скрытности, поэтому его легко обнаружить.

Особенности:
  • Metasploit Logging
  • Гадание поддоменов
  • Сохранение отчета (с использованием простого текста: NBE, XML, CSV и HTML)
  • Сканирование нескольких портов
  • Простые обновления (через командные строки)
  • Проверка подлинности хоста (с использованием NTLM и Basic)
  • IDS LibWhisker
  • Шаблонный движок (для легкой настройки отчетов)
  • Тщательная документация
  • Поддержка SSL (в Unix с OpenSSL и Windows с ActiveLtate Perl / NetSSL)
  • Догадка авторизации (обрабатывает все каталоги)
  • Настройка сканирования
  • Техника мутации

Поддерживаемые платформы:
  • Unix/Linux, включая OS X, Windows (должен иметь ActiveState Perl/Strawberry Perl)
Некоторые из ОС, в том числе Kali Linux, поставляются с Nikto.

Установка Nikto
Важно: Пользователи Unix / Linux: Перед установкой Nikto убедитесь, что вы установили необходимый модуль Perl, который поддерживает ваша система. LibWhisker уже включен.

Клонировать репо:

$ git clone https://github.com/sullo/nikto.git

Запустить как Docker контейнер
$ cd nikto $ docker build -t sullo/nikto

Основное использование

Используйте -h для просмотра списка доступных опций:

$ docker run --rm sullo/nikto -h http://www.example.com
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!