Kako najti ranljivosti spletnega strežnika z Nikto Scannerjem

 S spletnim brskalnikom skenirajte ranljivosti in napačne nastavitve BREZPLAČNO s skenerjem Nikto


97% vloge, ki jo je preizkusil Trustwave imel eno ali več slabosti.

aplikacije, občutljive na zaupanje

In 14% preiskave vdora je bil posledica napačne konfiguracije. Napačna konfiguracija lahko povzroči resna tveganja.

dejavniki zaupanja

Obstaja več spletnih skenerjev ranljivosti za testiranje spletnih aplikacij v internetu.

Če pa želite preizkusiti Intranet aplikacije ali interne aplikacije, lahko uporabite Nikto spletni skener.

Nikto je odprtokodni skener, ki ga je napisal avtor Chris Sullo, in lahko uporabljate s katerim koli spletnim strežnikom (Apache, Nginx, IHS, OHS, Litespeed itd.). Sliši se kot odlično notranje orodje za skeniranje spletnih strežnikov.

Nikto skeniranje za konec 6700 izdelkov za odkrivanje napačne konfiguracije, tvegane datoteke itd., nekatere funkcije vključujejo;

  • Poročilo lahko shranite v HTML, XML, CSV
  • Podpira SSL
  • Optično preglejte več vrat na strežniku
  • Poiščite poddomeno
  • Število uporabnikov Apache
  • Pregledi za zastarele komponente
  • Zaznajte parkirna mesta

Začnimo z namestitvijo in uporabo tega orodja

To je mogoče namestiti v Kali Linux ali drug OS (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS itd.), Ki podpirajo Perl.

V tem članku bom razložil, kako uporabljati naprej Kali Linux & CentOS.

Opomba: izvajanje skeniranja na vaš spletni strežnik naloži veliko zahtev.

Uporaba Nikta v Kali Linux

Ker je vgrajena v Kaliju, vam ni treba ničesar namestiti.

  • Prijavite se v Kali Linux
  • Pojdite na Aplikacije >> Analiza ranljivosti in kliknite nikto

kali-linux-nih

Odprl se bo terminal, na katerem lahko skeniranje zaženete na svojem spletnem strežniku.

Obstaja več načinov / sintakse, ki jih lahko uporabite za izvajanje skeniranja. Vendar pa najhitreje storimo;

# nikto –h $ webserverurl

Ne pozabite spremeniti $ webserverurl z dejanskim IP ali FQDN spletnega strežnika.

[zaščitena e-pošta]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Ciljni IP: 128.199.222.244
+ Ciljno ime gostitelja: thewebchecker.com
+ Ciljno pristanišče: 80
+ Začetni čas: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Strežnik: Apache / 2.4.18 (Ubuntu)
+ Strežnik pušča inode skozi ETags, glavo najdete z datoteko /, polja: 0x2c39 0x53a938fc104ed
+ Glava X-Frame-Options proti pritiskanju ni na voljo.
+ Glava zaščite X-XSS ni definirana. Ta glava lahko namiguje uporabniškemu agentu, da se zaščiti pred nekaterimi oblikami XSS
+ Glava X-Content-Type-Options ni nastavljena. To lahko uporabniškemu agentu omogoči, da vsebino spletnega mesta na drugačen način predloži v vrsto MIME
+ Najdenih ni nobenih imenikov CGI (uporabite »-C vse«, da prisilite preveriti vse mogoče dirke)
+ Dovoljene metode HTTP: GET, HEAD, POST, OPTIONS
+ Najdena je občasna glava ‘x-ob_mode’, z vsebino: 1
+ OSVDB-3092: / manual /: Priročnik za spletni strežnik najden.
+ OSVDB-3268: / priročnik / slike /: Indeksiranje imenikov je najdeno.
+ OSVDB-3233: / icons / README: Privzeta datoteka Apache najdena.
+ / phpmyadmin /: phpMyAdmin imenik najden
+ 7596 zahtevkov: 0 napak (-ov) in 10 elementov (-ov), sporočenih na oddaljenem gostitelju
+ Končni čas: 2016-08-22 06:54:44 (GMT8) (1291 sekund)
—————————————————————————
+ Testirano 1 gostitelja

Kot lahko vidite, je zgornje skeniranje v nasprotju s privzeto konfiguracijo Apache 2.4, zato je treba posvetiti veliko elementov.

  • Napad s klikanjem
  • Varnost tipa MIME

Lahko se obrnete na mojo varnost Apache & Vodnik za utrjevanje, da jih odpravite.

Uporaba Nikta v CentOS-u

  • Prijavite se v CentOS ali katero koli operacijsko sistem Linux
  • Prenesite najnovejšo različico iz Github z uporabo wget-a

wget https://github.com/sullo/nikto/archive/master.zip .

  • Izvleček z ukazom unzip

unzip master.zip

  • Ustvaril bo novo mapo, imenovano “nikto-master”
  • Pojdite v mapo nikto-master>program

cd / nikto-master / program

Izvedite nikto.pl s ciljno domeno

Opomba: boste morda dobili naslednje opozorilo.

+ OPOZORILO: Modul JSON :: PP manjka. -Savedirne funkcije in funkcije ponovnega predvajanja ni mogoče uporabiti.

Če prejmete to opozorilo, morate Perl modul namestiti na naslednji način.

# yum namestite perl-CPAN *

Ko namestite izvedite nikto in mora biti v redu.

Tokrat bom izvedel skeniranje na spletnem strežniku Nginx, da vidim, kako deluje.

./nikto.pl -h 128.199.222.244

nikto-nginx

Kot lahko vidite privzeti Nginx, je konfiguracija spletnega strežnika tudi ranljiva in ta varnostni vodič vam bo pomagal, da jih omilite.

Pojdi naprej in se poigraj s Nikto programsko opremo in če te zanima več o tem, si oglej to tečaj hekerskega in prodornega testiranja.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map