實作弱點掃描工具 Nikto - acaj2018 的部落格 - udn部落格
acaj2018 的部落格
作家:資訊小幫手
文章分類
    Top
    實作弱點掃描工具 Nikto
    2024/05/09 14:05:49
    瀏覽:237
    迴響:0
    推薦:0
    引用0

    Nikto 是一套開源免費的弱點掃描工具。

    https://web.archive.org/web/20070203195859/http://www.cirt.net/code/nikto.shtml

    開發人員在建置網站的過程中,可以藉由此自動化的工具,掃描自己建置的網頁伺服器,是否有存在程式碼的弱點或是漏洞,藉由Nikto的檢查能夠在網頁發行前,先檢查出網頁伺服器的漏洞,盡早修補弱點,減少被入侵的風險。

    由於我們之前有介紹過使用ITE2 的NE-201機型,來架設虛擬的Manjaro OS,因此這次實作就使用Manjaro安裝Nikto來做弱點掃描工具示範。

    首先在Manjaro的Terminal視窗中,輸入安裝Nikto的指令

    輸入sudo pacman -Sy

    再執行sudo pacman -S nikto

    系統就會開始自動下載安裝Nikto套件

    等待一段時間完成安裝後,就可以開始測試執行Nikto掃描程式

    我們先輸入Nikto指令,確認查詢所有功能說明能正常執行

    接下來我們就開始進行簡單的掃描測試

    這裡我們架設了一個網頁伺服器的IP是192.168.50.116

    輸入nikto -h http://192.168.50.116/ 就可以開始掃描了

    由於Nikto是輕量化的弱點掃描工具,使用指令來掃描後,一樣也只會得到命令列的輸出紀錄。

    接下來我們再重新掃描一次,但這次的執行指令需要加上輸出格式的設定,用來網頁呈現的弱點掃描報告。

    一樣在Manjaro的Terminal輸入sudo nikto -h http://192.168.50.116/ -o result.html -F htm

    掃描完成後,回到Manjaro檔案管理員,並且找到Nikto掃描的輸出結果

    點擊剛剛產生的result.html,並使用Firefox瀏覽器開啟檔案

    就可以得到掃描後的網頁報告了。

    接下來我們使用進階的-evasion指令,可以設定共123456種模式,繞過反入侵偵測IDS設備來進行弱點掃描

     

    一樣對網頁伺服器192.168.50.116來測試

    在Manjaro的Terminal輸入指令sudo nikto -h http://192.168.50.116/ -evasion 123456 -o result.html -F htm

    掃描完成後,一樣回到Manjaro檔案管理員找到剛剛產出的result.htm,利用Firefox瀏覽器開啟檔案。

    就可以查看進階掃描的結果了

    這樣就可以得到更多的詳細資訊了。

    以上就是Nikto的弱點掃描實作,藉由掃描的結果,希望能幫助開發人員提早發現安全漏洞,並進行修補。降低安全風險,以免遭受駭客入侵。

    回應

    限會員,要發表迴響,請先登入