כיצד למצוא פגיעויות בשרתים באמצעות Nikto Scanner

 סרוק את שרת האינטרנט שלך בגלל פגיעויות, תצורה שגויה בחינם באמצעות סורק Nikto


97% היישום שנבדק על ידי אמון גלים היו חולשה אחת או יותר.

יישומי trustwave-פגיעים

ו 14% של חדירה שנחקרה נבעה מתצורה שגויה. תצורה שונה עלולה להוביל לסיכונים רציניים.

גורמי גלי אמון

יש מספר סורקי פגיעויות מקוונים לבדיקת יישומי האינטרנט שלך באינטרנט.

עם זאת, אם אתם מחפשים לבדוק יישומי אינטראנט או יישומים פנימיים, תוכלו להשתמש ניקטו סורק אינטרנט.

Nikto הוא סורק קוד פתוח שנכתב על ידי כריס סוללו, ותוכל להשתמש בכל שרתי אינטרנט (Apache, Nginx, IHS, OHS, Litespeed וכו ‘). נשמע כמו כלי ביתי מושלם לסריקת שרתי רשת.

ניקוטו סרק יותר מדי 6700 פריטים כדי לאתר תצורה שגויה, קבצים מסוכנים וכו ‘וחלק מהתכונות כוללות;

  • אתה יכול לשמור דוח ב- HTML, XML, CSV
  • זה תומך ב- SSL
  • סרוק יציאות מרובות בשרת
  • מצא תת-דומיין
  • ספירת משתמשים של Apache
  • בדיקות לרכיבים מיושנים
  • אתר אתרי חניה

נתחיל בהתקנה ואיך להשתמש בכלי זה

ניתן להתקין זאת ב- Kali Linux או מערכת הפעלה אחרת (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS וכו ‘) התומכים בפרל..

במאמר זה אסביר כיצד להשתמש ב קאלי לינוקס & CentOS.

פתק: ביצוע סריקה מבקש הרבה לשרת האינטרנט שלך.

באמצעות Nikto ב- Kali Linux

מכיוון שהוא מובנה בקאלי, אינך צריך להתקין שום דבר.

  • התחבר ל- Kali Linux
  • עבור אל יישומים >> ניתוח פגיעות ולחץ על nikto

קאלי-לינוקס-ניטקו

זה יפתח את הטרמינל בו תוכלו להפעיל את הסריקה כנגד שרת האינטרנט שלכם.

ישנן מספר דרכים / תחביר שבהם אתה יכול להשתמש כדי להפעיל את הסריקה. עם זאת, הדרך המהירה ביותר לעשות זאת היא;

# nikto –h $ שרת אינטרנט

אל תשכח לשנות את שרת האינטרנט $ עם שרת האינטרנט שלך IP או FQDN בפועל.

[מוגן בדוא”ל]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ IP יעד: 128.199.222.244
+ שם מארח יעד: thewebchecker.com
+ נמל יעד: 80
+ זמן התחלה: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ שרת: Apache / 2.4.18 (Ubuntu)
+ שרת מדליף קודיים באמצעות ETags, כותרת נמצאה עם קובץ /, שדות: 0x2c39 0x53a938fc104ed
+ כותרת האפשרויות X-Frame-Anti-clickjacking אינה קיימת.
+ כותרת ההגנה X-XSS אינה מוגדרת. כותרת זו יכולה לרמוז לסוכן המשתמש להגן מפני צורות מסוימות של XSS
+ הכותרת X-Content-Type-Options אינה מוגדרת. זה יכול לאפשר לסוכן המשתמש להעביר את תוכן האתר בצורה שונה לסוג MIME
+ לא נמצאו ספריות CGI (השתמש ב’- C all ‘בכדי לבדוק את כל ההוראות האפשריות)
+ שיטות HTTP מותרות: GET, HEAD, POST, OPTIONS
+ נמצא כותרת ‘x-ob_mode’ לא שכיחה, עם תוכן: 1
+ OSVDB-3092: / manual /: מדריך לשרת האינטרנט נמצא.
+ OSVDB-3268: / ידני / תמונות /: נמצא אינדקס ספריות.
+ OSVDB-3233: / אייקונים / README: נמצא קובץ ברירת מחדל של Apache.
+ / phpmyadmin /: נמצא ספריית phpMyAdmin
+ 7596 בקשות: 0 שגיאות ו -10 פריטים שדווחו על מארח מרוחק
+ זמן סיום: 2016-08-22 06:54:44 (GMT8) (1291 שניות)
—————————————————————————
+ 1 מארח / ים נבדקו

כפי שאתה יכול לראות הסריקה לעיל מנוגדת לתצורת ברירת המחדל של Apache 2.4, ויש פריטים רבים שצריכים תשומת לב.

  • התקפת קליקים
  • סוג אבטחה מסוג MIME

אתה יכול להפנות את האבטחה שלי ב- Apache & מדריך התקשות לתיקון אלה.

באמצעות Nikto ב- CentOS

  • התחבר ל- CentOS או לכל מערכת הפעלה מבוססת לינוקס
  • הורד את הגרסה האחרונה מ- גיתוב באמצעות wget

ווגט https://github.com/sullo/nikto/archive/master.zip .

  • חלץ באמצעות פקודת unzip

לפתוח את master.zip

  • היא תיצור תיקיה חדשה בשם “nikto-master”
  • היכנס לתיקיה nikto-master>תכנית

תקליטור / nikto-master / תוכנית

לבצע nikto.pl עם תחום היעד

פתק: יתכן שתקבל את האזהרה הבאה.

+ אזהרה: מודול JSON :: PP חסר. -לא ניתן להשתמש בפונקציונליות של Saveir ו- Play.

אם אתה מקבל אזהרה זו, עליך להתקין את מודול Perl על ידי הפעולות הבאות.

# yum התקן perl-CPAN *

לאחר ההתקנה לבצע nikto אמור להיות בסדר.

הפעם, אבצע סריקה נגד שרת האינטרנט של Nginx כדי לראות את הביצועים שלו.

./nikto.pl -h 128.199.222.244

nikto-nginx

כך שתוכלו לראות את Nginx ברירת מחדל, גם תצורת שרת האינטרנט פגיעה ומדריך אבטחה זה יעזור לכם למתן אותם.

קדימה, השתעשע עם תוכנת Nikto, ואם אתה מעוניין ללמוד עוד, בדוק זאת קורס בדיקות פריצה וחדירה.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map