Cara mencari Kerentanan Pelayan Web dengan Pengimbas Nikto

 Imbas pelayan web anda untuk kelemahan, salah konfigurasi secara PERCUMA dengan pengimbas Nikto


97% permohonan yang diuji oleh Gelombang Amanah mempunyai satu atau lebih kelemahan.

aplikasi trustwave-rentan

Dan 14% pencerobohan yang disiasat disebabkan oleh salah konfigurasi. Salah konfigurasi boleh menyebabkan risiko serius.

faktor kepercayaan-gelombang

Terdapat sebilangan pengimbas kerentanan dalam talian untuk menguji aplikasi web anda di Internet.

Walau bagaimanapun, jika anda ingin menguji aplikasi Intranet atau aplikasi dalaman, maka anda boleh menggunakannya Nikto pengimbas web.

Nikto adalah pengimbas sumber terbuka yang ditulis oleh Chris Sullo, dan anda boleh menggunakan dengan mana-mana pelayan web (Apache, Nginx, IHS, OHS, Litespeed, dll.). Kedengarannya seperti alat dalaman yang sempurna untuk pengimbasan pelayan web.

Nikto mengimbas lebih 6700 item untuk mengesan salah konfigurasi, fail berisiko, dan lain-lain dan beberapa ciri termasuk;

  • Anda boleh menyimpan laporan dalam HTML, XML, CSV
  • Ia menyokong SSL
  • Imbas beberapa port di pelayan
  • Cari subdomain
  • Penghitungan pengguna Apache
  • Memeriksa komponen yang ketinggalan zaman
  • Kesan tempat letak kenderaan

Mari mulakan pemasangan dan cara menggunakan alat ini

Ini boleh dipasang pada Kali Linux atau OS lain (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS, dll.) Yang menyokong Perl.

Dalam artikel ini, saya akan menerangkan cara menggunakannya Kali Linux & CentOS.

Nota: melakukan imbasan membuat banyak permintaan ke pelayan web anda.

Menggunakan Nikto di Kali Linux

Oleh kerana ia dibina di Kali, anda tidak perlu memasang apa-apa.

  • Log masuk ke Kali Linux
  • Pergi ke Aplikasi >> Analisis Kerentanan dan klik nikto

kali-linux-nitko

Ia akan membuka terminal di mana anda boleh menjalankan pengimbasan terhadap pelayan web anda.

Terdapat pelbagai cara / sintaks yang boleh anda gunakan untuk menjalankan imbasan. Walau bagaimanapun, kaedah terpantas adalah;

# nikto –h $ webserverurl

Jangan lupa menukar $ webserverurl dengan IP atau FQDN sebenar pelayan web anda.

[dilindungi e-mel]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ IP Sasaran: 128.199.222.244
+ Nama Hos Sasaran: thewebchecker.com
+ Pelabuhan Sasaran: 80
+ Masa Mula: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Pelayan: Apache / 2.4.18 (Ubuntu)
+ Pelayan membocorkan inod melalui ETags, header dijumpai dengan fail /, medan: 0x2c39 0x53a938fc104ed
+ Tajuk X-Frame-Options anti-clickjacking tidak ada.
+ Tajuk X-XSS-Protection tidak ditentukan. Tajuk ini dapat memberi petunjuk kepada ejen pengguna untuk melindungi daripada beberapa bentuk XSS
+ Tajuk X-Content-Type-Options tidak ditetapkan. Ini membolehkan ejen pengguna membuat kandungan laman web dengan cara yang berbeza dengan jenis MIME
+ Direktori CGI tidak dijumpai (gunakan ‘-C all’ untuk memaksa memeriksa semua kemungkinan dir)
+ Kaedah HTTP yang dibenarkan: GET, HEAD, POST, OPTIONS
+ Tajuk ‘x-ob_mode’ tidak dijumpai, dengan kandungan: 1
+ OSVDB-3092: / manual /: Manual pelayan web dijumpai.
+ OSVDB-3268: / manual / gambar /: Pengindeksan direktori dijumpai.
+ OSVDB-3233: / icons / README: Fail lalai Apache dijumpai.
+ / phpmyadmin /: phpMyAdmin direktori dijumpai
+ 7596 permintaan: 0 ralat dan 10 item dilaporkan pada host jauh
+ Waktu Tamat: 2016-08-22 06:54:44 (GMT8) (1291 saat)
—————————————————————————
+ 1 hos diuji

Seperti yang anda lihat imbasan di atas bertentangan dengan konfigurasi lalai Apache 2.4, dan ada banyak item yang perlu diperhatikan.

  • Serangan Clickjacking
  • Keselamatan Jenis MIME

Anda boleh merujuk Keselamatan Apache saya & Panduan Pengerasan untuk memperbaikinya.

Menggunakan Nikto di CentOS

  • Log masuk ke CentOS atau OS berasaskan Linux
  • Muat turun versi terkini dari Github menggunakan wget

wget https://github.com/sullo/nikto/archive/master.zip .

  • Ekstrak menggunakan arahan unzip

unzip master.zip

  • Ia akan membuat folder baru yang disebut “nikto-master”
  • Masuk ke dalam folder nikto-master>program

cd / nikto-master / program

Laksanakan nikto.pl dengan domain sasaran

Nota: anda mungkin mendapat amaran berikut.

+ AMARAN: Modul JSON :: PP hilang. Fungsi -Savedir dan replay tidak dapat digunakan.

Sekiranya anda mendapat amaran ini, maka anda perlu memasang modul Perl dengan yang berikut.

# yum pasang perl-CPAN *

Setelah dipasang laksanakan nikto dan semestinya baik.

Kali ini, saya akan menjalankan imbasan terhadap pelayan web Nginx untuk melihat bagaimana kerjanya.

./nikto.pl -h 128.199.222.244

nikto-nginx

Oleh kerana anda dapat melihat Nginx lalai, konfigurasi pelayan web juga rentan dan panduan keselamatan ini akan membantu anda mengurangkannya.

Teruskan bermain-main dengan perisian Nikto dan jika berminat untuk belajar lebih banyak, lihat ini kursus ujian penggodaman dan penembusan.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector