Nikto je open source nástroj zranitelnosti založený na Perlu, který provádí širokou škálu testů proti webovým serverům na tisíce zranitelností, zastaralé verze a další známé problémy. Protože Nikto je založen na Perlu, může běžet na všech operačních systémech s nainstalovaným Perlem. V tomto tutoriálu vám ukážeme, jak nainstalovat a používat Nikto na Ubuntu VPS. Jeho instalace je velmi snadná a rychlá.
Nikto přichází s mnoha užitečnými funkcemi, jako například:
- Kontroluje zastaralé součásti serveru
- Ukládat přehledy ve formátu prostého textu, XML, HTML, NBE nebo CSV
- Prohledejte více portů nebo více serverů
- Identifikuje nainstalovaný software pomocí záhlaví, favicon a souborů
- Naskenujte ladění, abyste zahrnuli nebo vyloučili celé třídy zranitelnosti
- kontroly
- Uložte celý požadavek/odpověď pro pozitivní testy
- A mnoho dalších…
Nejprve se přihlaste ke svému Ubuntu VPS jako uživatel root
ssh root@IP_ADDRESS
a ujistěte se, že všechny nainstalované balíčky jsou aktuální
apt-get update && apt-get upgrade
Nainstalujte některé předpoklady
apt-get install wget unzip libnet-ssleay-perl libwhisker2-perl openssl
Přejděte na oficiální web Nikoho a stáhněte si nejnovější verzi na svůj server
cd /opt wget https://cirt.net/nikto/nikto-2.1.5.tar.gz
Rozbalte stažený archiv tarball
tar xvfz nikto-2.1.5.tar.gz
Tím se vytvoří nový adresář ‚nikto-2.1.5‘. Tento adresář přejmenujeme
mv nikto-2.1.5/ nikto
Změňte aktuální pracovní adresář a udělejte skript v Perlu spustitelný
cd nikto/ chmod +x nikto.pl
Aktualizujte Nikovu databázi a pluginy
perl nikto.pl -update + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_parked_strings' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_report_csv.plugin' + Retrieving 'db_tests' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to https://github.com/sullo/nikto
Pro jednoduché testovací skenování vašeho webu můžete spustit
perl nikto.pl -h yourwebsite.com
Pokud váš webový server naslouchá na jiném portu, než je výchozí, můžete port specifikovat pomocí přepínače -p.
Výstup tohoto jednoduchého skenování vám poskytne velmi užitečné informace, jako jsou zranitelnosti XSS, zastaralé a zranitelné webové aplikace a mnoho dalších. Výstup můžete uložit do souboru pomocí přepínače -o a určit formát výstupu. Například následující příkaz prohledá váš web a uloží výstup do souboru html.
perl nikto.pl -h yourwebsite.com -o scan.htm
Všechny možnosti podporované Nikdo můžete zkontrolovat pomocí přepínače -h
perl nikto.pl -h -config+ Use this config file -Display+ Turn on/off display outputs -dbcheck check database and other key files for syntax errors -Format+ save file (-o) format -Help Extended help information -host+ target host -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -output+ Write output to this file -nossl Disables using SSL -no404 Disables 404 checks -Plugins+ List of plugins to run (default: ALL) -port+ Port to use (default 80) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Tuning+ Scan tuning -timeout+ Timeout for requests (default 10 seconds) -update Update databases and plugins from CIRT.net -Version Print plugin and database versions -vhost+ Virtual host (for Host header)
Další informace o Nikto lze nalézt v jejich oficiální dokumentaci.
Samozřejmě nemusíte nic z toho dělat, pokud používáte některou z našich služeb Managed VPS Hosting, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby vám nainstalovali Nikto. Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
PS. Pokud se vám tento příspěvek líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.