Nikto является открытым инструментом проверки уязвимости источника, на основе Perl, который выполняет широкий спектр тестов против веб – серверов для тысяч уязвимостей, устаревших версий и других известных проблем. Так как Nikto основан на Perl, он может работать на всех операционных системах с установленным Perl. В этом уроке мы покажем вам, как установить и использовать Nikto на Ubuntu. Его установка очень легка и быстра.
Nikto поставляется с большим количеством полезных функций, таких как:
- Проверяет наличие устаревших компонентов сервера
- Сохранение отчетов в виде простого текста, XML, HTML, CSV или NBE
- Сканирование нескольких портов или несколько серверов
- Обозначает установленное программное обеспечение через заголовки, значки и файлы
- Настройки сканирование, чтобы включить или исключить целые классы уязвимости
- Проверки
- Сохранить запрос/ответ для положительных испытаний
- И многое другое …
Прежде всего войдите на свой Ubuntu в качестве корневого пользователя
ssh root@IP_ADDRESS
и убедитесь, что все установленные пакеты находятся в актуальном состоянии
apt-get update && apt-get upgrade
Установите некоторые зависимости
apt-get install wget unzip libnet-ssleay-perl libwhisker2-perl openssl
Перейти на официальный сайт NIKTO и скачать последнюю версию на сервер
cd /opt wget https://cirt.net/nikto/nikto-2.1.5.tar.gz
Распакуйте загруженный архив .tar архив
tar xvfz nikto-2.1.5.tar.gz
Он создаст новый каталог “Nikto-2.1.5 ‘. Мы переименуем этот каталог
mv nikto-2.1.5/ nikto
Изменените текущий рабочий каталог и сделайте скрипт исполняемым Perl
cd nikto/ chmod +x nikto.pl
Обновите базу данных и плагины в NIKTO
perl nikto.pl -update + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_parked_strings' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_report_csv.plugin' + Retrieving 'db_tests' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to https://github.com/sullo/nikto
Для простого тестового сканирования вашего сайта вы можете запустить
perl nikto.pl -h yourwebsite.ru
Если ваш веб-сервер прослушивает другой порт, чем по умолчанию, вы можете использовать ключ -p, чтобы указать порт.
Выходной сигнал этого простого сканирования даст вам очень полезную информацию, такую как XSS уязвимости, устаревших и уязвимых веб-приложений, и многое другое. Вы можете сохранить вывод в файл, используя -o переключатель и указать формат вывода. Например, следующая команда будет сканировать ваш сайт и сохранит в HTML-файл.
perl nikto.pl -h yourwebsite.com -o scan.htm
Вы можете проверить все параметры, поддерживаемые Nikto используя опцию -h
-config+ использовать этот конфигурационный файл -Display+ включение/выключение дисплея -dbcheck проверка базы данных и другие файлы ключей для синтаксических ошибок -Format+ сохранить файл(-ы) в формате -Help расширенная справочная информация -host+ хост -id+ хост для использования, Формат id:pass или id:pass:realm -list-plugins список всех существующих плагинов -output+ писать вывод в этот файл -nossl запрещает использование SSL -no404 отключает 404 проверки -Plugins+ список плагинов для запуска (по умолчанию: для всех) -port+ порт (по умолчанию 80) -root+ корень добавляет ценность для всех запросов, Формат /каталог -ssl Форсирование SSL на порт -Tuning+ настройки сканирования -timeout+ время ожидания для запросов (по умолчанию 10 секунд) -update обновление баз данных и плагинов с CIRT.net -Version плагина печати и версии базы данных -vhost+ Виртуальный хост (для заголовка)
Более подробную информацию о Nikto можно найти в их официальной документации: https://cirt.net/nikto2-docs/.