iT邦幫忙

2021 iThome 鐵人賽

DAY 24
0
Security

三人要保密,一個人要學好資安系列 第 24

Web伺服器掃描工具-Nikto

前幾天有練習了小蜘蛛和跳過魚
今天還是持續練習Web的工具
透過這些工具可以輔助我們更順利進行手動測試


Nikto為開源的Web伺服器掃描工具
以Perl語言開發,能在Linux上運行
由於執行過程中會發出大量請求
容易被防禦設備IDS/IPS阻擋或IP被封鎖

  • 可以用來掃描:
    • 1.錯誤的配置
    • 2.過時的版本
    • 3.Web應用常見的安全問題
    • 4.搜索默認文件及不安全文件

主機、port和協議可以使用完整的 URL 語法來指定
Nikto會先常規測試 HTTP;如果失敗則改為測試 HTTPS
若直接指定 -s (-ssl) 可以加快測試速度

掃描可以直接輸入nikto -host URL

也可以直接輸入nikto -h(host) ip位置

要檢查不同的port
可以使用 -p (-port) 選項指定port號
-p 也可以是指定一個範圍

我們能使用 -output -Format 指定輸出格式
格式類型包含:

  • CSV
  • HTML
  • XML
  • NBE
  • JSON
  • TXT

實際練習下來掃描真的蠻迅速的~
但因為在IDS/IPS日誌中會很明顯
也可以反過來作為公司內部的IDS系統測試用


上一篇
Web應用測試工具-Skipfish
下一篇
Google Hacking女神搜尋技法
系列文
三人要保密,一個人要學好資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言