Scan din webserver for sårbarheder, fejlkonfiguration i GRATIS med Nikto-scanner
97% af applikation testet af Trustwave havde en eller flere svagheder.
Og 14% af undersøgt indtrængen skyldtes fejlkonfiguration. Miskonfiguration kan føre til alvorlige risici.
Der er en række online sårbarhedsscannere til at teste dine webapplikationer på Internettet.
Hvis du imidlertid ønsker at teste intranet-applikationer eller interne applikationer, kan du bruge det Nikto webscanner.
Nikto er en open source-scanner skrevet af Chris Sullo, og du kan bruge alle webservere (Apache, Nginx, IHS, OHS, Litespeed osv.). Lyder som et perfekt internt værktøj til scanning af webserver.
Nikto-scanning for over 6700 varer at opdage fejlkonfiguration, risikable filer osv. og nogle af funktionerne inkluderer;
- Du kan gemme rapport i HTML, XML, CSV
- Det understøtter SSL
- Scan flere porte på serveren
- Find underdomæne
- Apache-brugeropregning
- Kontroller for forældede komponenter
- Registrer parkeringssteder
Lad os komme i gang med installationen, og hvordan du bruger dette værktøj
Dette kan installeres på Kali Linux eller andet operativsystem (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS osv.) Som understøtter Perl.
I denne artikel vil jeg forklare, hvordan man bruger Kali Linux & CentOS.
Bemærk: udførelse af scanning giver masser af anmodninger til din webserver.
Brug af Nikto på Kali Linux
Da det er indbygget i Kali, behøver du ikke installere noget.
- Log ind på Kali Linux
- Gå til applikationer >> Sårbarhedsanalyse og klik på nikto
Det åbner terminalen, hvor du kan køre scanningen mod din webserver.
Der er flere måder / syntaks, du kan bruge til at køre scanningen. Imidlertid er den hurtigste måde at gøre;
# nikto –h $ webserverurl
Glem ikke at ændre $ webserverurl med din webserver faktisk IP eller FQDN.
[Email protected]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Mål-IP: 128.199.222.244
+ Målværtnavn: thewebchecker.com
+ Målhavn: 80
+ Starttid: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Server: Apache / 2.4.18 (Ubuntu)
+ Server lækker inoder via ETags, header fundet med fil /, felter: 0x2c39 0x53a938fc104ed
+ Anti-clickjacking X-Frame-Options-overskriften er ikke til stede.
+ X-XSS-Protection-overskriften er ikke defineret. Denne header kan antydes til brugeragenten for at beskytte mod nogle former for XSS
+ Headeren X-Content-Type-Options er ikke indstillet. Dette kan give brugeragenten mulighed for at gengive indholdet på webstedet på en anden måde end MIME-typen
+ Der blev ikke fundet nogen CGI-mapper (brug ‘-C alle’ til at tvinge kontrol over alle mulige direktiver)
+ Tilladte HTTP-metoder: GET, HEAD, POST, OPTIONS
+ Ikke almindelig overskrift ‘x-ob_mode’ fundet, med indhold: 1
+ OSVDB-3092: / manual /: Webservermanual fundet.
+ OSVDB-3268: / manual / images /: Directoryindeksering fundet.
+ OSVDB-3233: / ikoner / README: Apache-standardfil blev fundet.
+ / phpmyadmin /: phpMyAdmin-bibliotek fundet
+ 7596 anmodninger: 0 fejl (r) og 10 (er) rapporteret på fjernhost
+ Sluttid: 2016-08-22 06:54:44 (GMT8) (1291 sekunder)
—————————————————————————
+ 1 vært (er) testet
Som du kan se, er ovennævnte scanning mod standardkonfiguration af Apache 2.4, og der er mange elementer, der skal overholdes.
- Clickjacking Attack
- MIME-type sikkerhed
Du kan henvise til min Apache-sikkerhed & Hærdningsvejledning til at rette disse.
Brug af Nikto på CentOS
- Login til CentOS eller ethvert Linux-baseret operativsystem
- Download den nyeste version fra Github ved hjælp af wget
wget https://github.com/sullo/nikto/archive/master.zip .
- Uddrag ved hjælp af unzip-kommando
pak master.zip ud
- Det vil oprette en ny mappe kaldet “nikto-master”
- Gå ind i mappen nikto-master>program
cd / nikto-master / program
Udfør nikto.pl med måldomænet
Bemærk: kan du få følgende advarsel.
+ ADVARSEL: Modul JSON :: PP mangler. -Savedir og replay-funktionalitet kan ikke bruges.
Hvis du får denne advarsel, skal du installere Perl-modulet på følgende måde.
# yum installere perl-CPAN *
Når installationen er udført, skal du udføre nikto og skal være i orden.
Denne gang kører jeg en scanning mod Nginx webserver for at se, hvordan den fungerer.
./nikto.pl -h 128.199.222.244
Så som du kan se standard Nginx, er webserverkonfiguration også sårbar, og denne sikkerhedsguide hjælper dig med at afbøde dem.
Gå videre og leg med Nikto-softwaren, og hvis du er interesseret i at lære mere, så tjek dette hacking og penetrationstestkursus.
