前書き
Niktoは PerlのベースLibWhisker開発を使用して、オープンソース(GPL)ウェブサーバスキャナです。それは、問題のバージョンに270台以上のサーバーに1,200人以上のサーバおよび特定のバージョンをチェックし、ファイル/ CGI 6400、複数のWebサーバの完全スキャンの様々な、潜在的に危険なことができます。それもチェックサーバの設定項目は、そのような複数のインデックスファイル、HTTPサーバーのオプションがあるかどうかなど、Webサーバとソフトウェアインストールを確認してみてください。スキャンアイテムやプラグインは頻繁に更新されると自動的に更新することができます。
コマンド
1.通常のスキャン
nikto -h <IP or hostname>
NiktoはスキャンSSLとポート443(HTTPSポートサイトの使い方)(HTTPのデフォルトポート80)が可能です。したがって、我々は、用途のSSLサイトをスキャンすることができます。
nikto -h <IP or hostname> -ssl
実際には、その後、最初にHTTPを使用して、SSL、Niktoのルールを使用してポート443を指定せずに、それが失敗した場合、HTTPSルールにしてみてください。もちろん、指定された-ssl不要な手順は、時間のスキャンを節約するために省略することができます。
同時に、のNiktoもTXTファイルへのマルチドメイン/ IPスキャン、書き込み、1行につき1つをサポートしています。
nikto -h host.txt
2.スキャン指定されたポート
nikto -h xx.xx.xx.xx -p 80 #对80端口的扫描
3.スキャンし、Metasploitのペア
実行するスキャンを読み取ることができたときのNiktoは、フォーマットMetasploitの中で情報をエクスポートすることができます。ただ、スキャンを実行するためのコマンド上記、それ意志-FORMAT MSF +付加さ、それの終わりまで。この形式は、高速なデータ検索と脆弱性データベースを使用して私たちを助けることができます。
-hなし
4.内容は、ソリューションを推測します
-CスキャンCGIディレクトリ
nikto -h 192.168.3.111 -C all # all表示猜解CGI目录
5.脆弱性スキャン
-Tオプションは、オプションの少し説明が含まれています:
0ファイルのアップロードページをチェック
1チェック・ウェブがログに記録
エラーが発生するか、デフォルトの設定ファイルをチェックするために2を
3チェック情報開示の問題
質問4チェックXSS /スクリプト/ HTML
5は、ファイルをチェックするために、ルートディレクトリからアクセスすることができる
6サービスの問題の拒否をチェック
7は任意のファイルからのアクセスファイルがあるかどうかを検索する
システムコマンドが実行される脆弱性が存在するかどうかをチェックするために8
9は、SQLインジェクションの脆弱性をチェックし
、チェック認証バイパス問題の
インストールバージョンBを認識ソフトウェアを
ソースコードを調べcは漏れ
のx、逆方向リンクのオプション
6.指定したプロキシスキャン
nikto -h localhost -useproxy
nikto.confプロキシ設定ファイルでは、あなたはまた、コマンドラインを設定することができます
nikto -h localhost -useproxy http://localhost:8080/
プラグをチェック7.
nikto -list-plugins #列出可运行的插件
プラグインの実行]を選択します8.
nikto -Plugins
9.アップデートプラグインとデータベース
nikto -update
10は、検出ルールを実行することなく、唯一のHTTPおよびHTTPSポートを見つけるために使用しました
nikto -findonly
制御出力表示のNikto
nikto -Display 3
図1に示すリダイレクト
クッキー2受信したディスプレイ
3の表示200 / OKレスポンス
認証URLを必要とする4
Dデバッグ情報の
すべてのHTTP Eエラーを
Pプリント進行stdoutに
冗長V出力
12.IDSの回避技法
nikto -evasion
常用的参数:
1随机的URI编码(NO-UTF8)
2ディレクトリ自己参照(/./)
終了3早期URL
4プリペンドを長いランダムな文字列
5偽パラメータ
6 TAB要求スペーサとして
7変更URLの場合
8を使用Windowsディレクトリセパレータ()
A使用キャリッジリターン(0x0Dの)スペーサー要求として
要求スペーサとしてBを使用バイナリ値0x0Bの
13. Aテストレポートの書式指定出力ファイル
nikto -Format <csv/txt/html/msf/xml> #默认是txt文件格式
定義されていない場合は、接尾辞-o(-output)ファイルに基づいて決定されます
詳細については、以下を参照してください。マニュアル