前幾天有練習了小蜘蛛和跳過魚
今天還是持續練習Web的工具
透過這些工具可以輔助我們更順利進行手動測試

Nikto為開源的Web伺服器掃描工具
以Perl語言開發，能在Linux上運行
由於執行過程中會發出大量請求
容易被防禦設備IDS/IPS阻擋或IP被封鎖

• 可以用來掃描：
  • 1.錯誤的配置
  • 2.過時的版本
  • 3.Web應用常見的安全問題
  • 4.搜索默認文件及不安全文件

主機、port和協議可以使用完整的 URL 語法來指定
Nikto會先常規測試 HTTP；如果失敗則改為測試 HTTPS
若直接指定 -s (-ssl) 可以加快測試速度

掃描可以直接輸入nikto -host URL

也可以直接輸入nikto -h(host) ip位置

要檢查不同的port
可以使用 -p (-port) 選項指定port號
-p 也可以是指定一個範圍

我們能使用 -output -Format 指定輸出格式
格式類型包含：

• CSV
• HTML
• XML
• NBE
• JSON
• TXT

實際練習下來掃描真的蠻迅速的~
但因為在IDS/IPS日誌中會很明顯
也可以反過來作為公司內部的IDS系統測試用