Kako pronaći ranjivosti web poslužitelja pomoću Nikto Skenera

 Skenirajte svoj web poslužitelj radi ranjivosti, pogrešnih konfiguracija BESPLATNO pomoću Nikto skenera


97% prijave testirano od strane Trustwave imao jednu ili više slabosti.

trustwave-ranjive-aplikacija

I 14% istraženog upada nastao je zbog pogrešne konfiguracije. Pogrešno konfiguriranje može dovesti do ozbiljnih rizika.

trustwave-faktora

Postoji niz mrežnih skenera ranjivosti za testiranje vaših web aplikacija na Internetu.

Međutim, ako želite testirati intranet aplikacije ili interne aplikacije, onda možete koristiti Nikto web skener.

Nikto je skener otvorenog koda koji je napisao autor Chris Sullo, i možete ih koristiti s bilo kojim web poslužiteljima (Apache, Nginx, IHS, OHS, Litespeed itd.). Zvuči kao savršen interni alat za skeniranje web poslužitelja.

Nikto pretraži više 6700 predmeta otkriti pogrešne konfiguracije, rizične datoteke itd., a neke značajke uključuju;

  • Izvještaj možete spremiti u HTML, XML, CSV
  • Podržava SSL
  • Skenirajte više portova na poslužitelju
  • Pronađite poddomenu
  • Popis korisnika Apachea
  • Provjere zastarjelih komponenti
  • Otkrivanje mjesta za parkiranje

Počnimo s instalacijom i načinom korištenja ovog alata

Ovo se može instalirati na Kali Linux ili drugi OS (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS, itd.) Koji podržavaju Perl.

U ovom ću članku objasniti kako koristiti Kali Linux & CentOS.

Bilješka: izvršavanje skeniranja upućuje puno zahtjeva vašem web poslužitelju.

Korištenje Nikta na Kali Linuxu

Budući da je ugrađena u Kali, ne morate ništa instalirati.

  • Prijavite se u Kali Linux
  • Idite na Aplikacije >> Analiza ranjivosti i kliknite nikto

kali-linux-nitko

Otvorit će terminal na kojem možete pokrenuti skeniranje na vašem web poslužitelju.

Postoji nekoliko načina / sintaksa pomoću kojih možete pokrenuti skeniranje. Ipak, najbrži način je;

# nikto –h $ webserverurl

Ne zaboravite promijeniti $ webserverurl sa stvarnim IP ili FQDN web poslužitelja.

[E zaštićeni]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Ciljani IP: 128.199.222.244
+ Ciljano ime hosta: thewebchecker.com
+ Ciljana luka: 80
+ Vrijeme početka: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Poslužitelj: Apache / 2.4.18 (Ubuntu)
+ Poslužitelj curi inode putem ETagova, zaglavlje je pronađeno s datotekom /, polja: 0x2c39 0x53a938fc104ed
+ Zaglavlje X-Frame-Options protiv klika ne postoji.
+ Zaglavlje X-XSS-zaštite nije definirano. Ovo zaglavlje može nagovjestiti korisničko sredstvo kako bi se zaštitilo od nekih oblika XSS
+ Zaglavlje X-Content-Type-Options nije postavljeno. Ovo bi moglo omogućiti korisničkom agentu da sadržaj web mjesta na drugačiji način preusmjeri u MIME tip
+ Nisu pronađeni CGI katalozi (koristite “-C all” da biste provjerili sve moguće rokove)
+ Dopuštene metode HTTP-a: GET, HEAD, POST, OPTIONS
+ Pronađeno je neuobičajeno zaglavlje ‘x-ob_mode’, sa sadržajem: 1
+ OSVDB-3092: / priručnik /: Pronađen je priručnik za web poslužitelje.
+ OSVDB-3268: / priručnik / slike /: Indeksiranje direktorija je pronađeno.
+ OSVDB-3233: / icons / README: pronađena je zadana datoteka Apache.
+ / phpmyadmin /: phpMyAdmin direktorij je pronađen
+ 7596 zahtjeva: 0 pogreške i 10 stavki prijavljenih na udaljenom računalu
+ Vrijeme završetka: 2016-08-22 06:54:44 (GMT8) (1291 sekundi)
—————————————————————————
+ Testirano 1 domaćin (i)

Kao što možete vidjeti gore opisano skeniranje je prema zadanoj konfiguraciji Apache 2.4, a na mnoge je stavke potrebna pažnja.

  • Attack klikanja
  • MIME Vrsta sigurnosti

Možete se obratiti mojoj Apache sigurnosti & Vodič za otvrdnjavanje kako biste ih riješili.

Korištenje Nikta na CentOS-u

  • Prijavite se na CentOS ili bilo koji OS sa sustavom Linux
  • Preuzmite najnoviju verziju sa Github pomoću wget-a

wget https://github.com/sullo/nikto/archive/master.zip .

  • Ekstrakt pomoću naredbe unzip

unzip master.zip

  • Stvorit će se nova mapa koja se zove “nikto-master”
  • Uđite u mapu nikto-master>program

cd / nikto-master / program

Izvršiti nikto.pl s ciljanom domenom

Bilješka: možda ćete dobiti sljedeće upozorenje.

+ UPOZORENJE: Modul JSON :: PP nedostaje. -Savedir i ponovna funkcionalnost ne mogu se koristiti.

Ako dobivate ovo upozorenje, tada morate instalirati Perl modul na sljedeći način.

# yum instalirajte perl-CPAN *

Jednom instaliran izvršite nikto i trebao bi biti u redu.

Ovaj put pokrenut ću skeniranje na web-poslužitelju Nginx da vidim kako to radi.

./nikto.pl -h 128.199.222.244

Nikto-Nginx

Kako možete vidjeti zadani Nginx, konfiguracija web poslužitelja je također ranjiva i ovaj će vam sigurnosni vodič pomoći u ublažavanju.

Idite naprijed i igrajte se s Nikto softverom i ako ste zainteresirani za učenje više, pogledajte ovo tečaj hakiranja i prodiranja na tečaj.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map