Jak znaleźć luki w zabezpieczeniach serwera WWW za pomocą skanera Nikto

 Przeskanuj swój serwer sieciowy w poszukiwaniu luk, błędnej konfiguracji ZA DARMO za pomocą skanera Nikto


97% aplikacji przetestowane przez Trustwave miał jedną lub więcej słabości.

aplikacje wrażliwe na zaufanie

I 14% badanego włamania było spowodowane błędną konfiguracją. Błędna konfiguracja może prowadzić do poważnego ryzyka.

czynniki zaufania

Istnieje wiele internetowych skanerów podatności na zagrożenia do testowania aplikacji internetowych w Internecie.

Jeśli jednak chcesz przetestować aplikacje intranetowe lub aplikacje wewnętrzne, możesz użyć Nikto skaner internetowy.

Nikto to skaner open source napisany przez Chris Sullo, i możesz używać z dowolnymi serwerami internetowymi (Apache, Nginx, IHS, OHS, Litespeed itp.). Brzmi jak idealne wewnętrzne narzędzie do skanowania serwera WWW.

Nikto skanuje ponad 6700 pozycji w celu wykrycia błędnej konfiguracji, ryzykownych plików itp., a niektóre z funkcji obejmują;

  • Możesz zapisać raport w formacie HTML, XML, CSV
  • Obsługuje SSL
  • Przeskanuj wiele portów na serwerze
  • Znajdź subdomenę
  • Wyliczanie użytkowników Apache
  • Sprawdza nieaktualne komponenty
  • Wykryj miejsca parkingowe

Zacznijmy od instalacji i korzystania z tego narzędzia

Można to zainstalować w systemie Kali Linux lub innym systemie operacyjnym (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS itp.), Które obsługują Perl.

W tym artykule wyjaśnię, jak korzystać z Kali Linux & CentOS.

Uwaga: wykonanie skanowania powoduje wiele żądań do twojego serwera WWW.

Używanie Nikto w systemie Kali Linux

Ponieważ jest wbudowany w Kali, nie musisz niczego instalować.

  • Zaloguj się do Kali Linux
  • Przejdź do aplikacji >> Analiza podatności i kliknij nikto

kali-linux-nitko

Otworzy się terminal, w którym możesz uruchomić skanowanie na swoim serwerze internetowym.

Istnieje wiele sposobów / składni, których można użyć do uruchomienia skanowania. Jednak najszybszym sposobem jest;

# nikto –h $ webserverurl

Nie zapomnij zmienić $ webserverurl na rzeczywisty adres IP lub FQDN serwera.

[chroniony e-mailem]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Docelowy adres IP: 128.199.222.244
+ Docelowa nazwa hosta: thewebchecker.com
+ Port docelowy: 80
+ Czas rozpoczęcia: 22.08.2016, 06:33:13 (GMT8)
—————————————————————————
+ Serwer: Apache / 2.4.18 (Ubuntu)
+ Serwer wycieka i-węzły przez ETags, nagłówek znaleziony w pliku /, pola: 0x2c39 0x53a938fc104ed
+ Nagłówek X-Frame-Options anty-clickjacking nie jest obecny.
+ Nagłówek X-XSS-Protection nie jest zdefiniowany. Ten nagłówek może sugerować klientowi użytkownika, aby chronił przed niektórymi formami XSS
+ Nagłówek X-Content-Type-Options nie jest ustawiony. Może to pozwolić klientowi użytkownika na renderowanie zawartości witryny w inny sposób niż typ MIME
+ Nie znaleziono katalogów CGI (użyj opcji „-C wszystkie”, aby wymusić sprawdzenie wszystkich możliwych katalogów)
+ Dozwolone metody HTTP: GET, HEAD, POST, OPCJE
+ Znaleziono nietypowy nagłówek „x-ob_mode” o treści: 1
+ OSVDB-3092: / manual /: Znaleziono instrukcję serwera WWW.
+ OSVDB-3268: / manual / images /: Znaleziono indeksowanie katalogu.
+ OSVDB-3233: / icons / README: Znaleziono domyślny plik Apache.
+ / phpmyadmin /: znaleziono katalog phpMyAdmin
+ 7596 żądań: 0 błędów i 10 zgłoszonych na zdalnym hoście
+ Czas zakończenia: 22.08.2016, 06:54:44 (GMT8) (1291 sekund)
—————————————————————————
+ Przetestowano 1 hostów

Jak widać powyższy skan jest niezgodny z domyślną konfiguracją Apache 2.4 i istnieje wiele elementów wymagających uwagi.

  • Atak Clickjacking
  • Bezpieczeństwo typu MIME

Możesz polecić moje Apache Security & Przewodnik po hartowaniu, aby je naprawić.

Korzystanie z Nikto na CentOS

  • Zaloguj się do CentOS lub dowolnego systemu operacyjnego Linux
  • Pobierz najnowszą wersję z Github za pomocą wget

wget https://github.com/sullo/nikto/archive/master.zip .

  • Wypakuj używając polecenia unzip

rozpakuj master.zip

  • Stworzy nowy folder o nazwie „nikto-master”
  • Wejdź do folderu nikto-master>program

cd / nikto-master / program

Wykonać nikto.pl z domeną docelową

Uwaga: może pojawić się następujące ostrzeżenie.

+ OSTRZEŻENIE: Brak modułu JSON :: PP. -Nie można używać funkcji Savedir i powtórki.

Jeśli otrzymujesz to ostrzeżenie, musisz zainstalować moduł Perla w następujący sposób.

# yum zainstaluj perl-CPAN *

Po zainstalowaniu uruchom nikto i powinno być w porządku.

Tym razem uruchomię skanowanie serwera sieciowego Nginx, aby zobaczyć, jak działa.

./nikto.pl -h 128.199.222.244

nikto-nginx

Jak widać domyślną wersję Nginx, konfiguracja serwera WWW również jest zagrożona, a ten przewodnik bezpieczeństwa pomoże ci je złagodzić.

Śmiało i baw się z oprogramowaniem Nikto, a jeśli chcesz dowiedzieć się więcej, sprawdź to kurs hakowania i penetracji.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector