Vizsgálja meg webszerverét sebezhetőségek és téves konfigurációk szempontjából INGYEN a Nikto szkennerrel

97% alkalmazás által tesztelt Trustwave volt egy vagy több gyengesége.

Trustwave sérülékeny-alkalmazások

És 14% A vizsgált betolakodás téves konfigurációja okozta. A téves konfiguráció komoly kockázatokhoz vezethet.

Trustwave tényezők

Számos online sebezhetőségi szkenner tesztelheti webes alkalmazásokat az interneten.

Ha azonban intranet vagy házon belüli alkalmazásokat szeretne tesztelni, akkor használhatja Nikto internetes szkenner.

A Nikto egy nyílt forrású szkenner, amelyet írta Chris Sullo, és bármilyen webszerverrel (Apache, Nginx, IHS, OHS, Litespeed stb.) használható. Úgy hangzik, mint egy tökéletes házon belüli eszköz a webszerver szkenneléséhez.

A Nikto átkutatta 6700 elem téves konfiguráció, kockázatos fájlok stb. felismerésére, és a szolgáltatások néhány eleme tartalmazza;

  • A jelentést HTML, XML, CSV formátumban mentheti
  • Támogatja az SSL-t
  • Szkenneljen több portot a szerveren
  • Aldomain keresése
  • Apache felhasználói felsorolás
  • Elavult alkatrészek ellenőrzése
  • Fedezze fel a parkolóhelyeket

Kezdjük a telepítéssel és az eszköz használatával

Ez telepíthető a Kali Linux rendszerre vagy más Perl-t támogató operációs rendszerre (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS stb.).

Ebben a cikkben elmagyarázom, hogyan kell használni Kali Linux & CentOS.

Jegyzet: a szkennelés végrehajtása sok kérést tesz a webszerverre.

A Nikto használata a Kali Linux rendszeren

Mivel Kali-ban beépítették, nem kell telepítenie semmit.

  • Bejelentkezés a Kali Linux rendszerbe
  • Lépjen az Alkalmazások oldalra >> Sebezhetőség elemzése és kattintson a nikto elemre

Kali-linux-nitko

Megnyitja a terminált, ahol futtathatja a szkennelést a webszerverrel szemben.

A vizsgálat elvégzéséhez többféle módszer / szintaxis használható. Ennek leggyorsabb módja azonban;

# nikto –h $ webszerver

Ne felejtsd el megváltoztatni a $ webserverurl webszerver aktuális IP-jét vagy FQDN-jét.

[Email protected]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Cél IP: 128.199.222.244
+ Célgépnév: thewebchecker.com
+ Célport: 80
+ Kezdési idő: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Szerver: Apache / 2.4.18 (Ubuntu)
+ A szerver beszivárog az ETags-on keresztül, fejléc található a fájl / mezőkkel: 0x2c39 0x53a938fc104ed
+ A kattintás elleni X-Frame-Options fejléc nincs jelen.
+ Az X-XSS-Protection fejléc nincs meghatározva. Ez a fejléc utalhat a felhasználói ügynökre, hogy megvédje az XSS egyes formáit
+ Az X-Content-Type-Options fejléc nincs beállítva. Ez lehetővé tenné a felhasználói ügynök számára, hogy a webhely tartalmát a MIME típusától eltérő módon jelenítse meg
+ Nem található CGI könyvtárak (a „-C all” használatával ellenőrizze az összes lehetséges dirt)
+ Engedélyezett HTTP módszerek: GET, HEAD, POST, OPTIONS
+ Nem található az ‘x-ob_mode’ fejléc, tartalma: 1
+ OSVDB-3092: / manual /: Talált webszerver kézikönyv.
+ OSVDB-3268: / kézi / images /: Találat könyvtár-indexelésre.
+ OSVDB-3233: / icons / README: Az Apache alapértelmezett fájl található.
+ / phpmyadmin /: a phpMyAdmin könyvtár található
+ 7596 kérés: 0 hiba (ok) és 10 elem (ek) jelentése a távoli gazdagépen
+ Vége: 2016-08-22 06:54:44 (GMT8) (1291 másodperc)
—————————————————————————
+ 1 gazdagépet teszteltünk

Mint láthatja, a fenti vizsgálat ellentétes az Apache 2.4 alapértelmezett konfigurációjával, és sok elemre figyelni kell.

  • Clickjacking Attack
  • MIME típusú biztonság

Hivatkozhat az Apache Biztonságomra & Edzési útmutató ezek javításához.

A Nikto használata a CentOS-on

  • Jelentkezzen be a CentOS vagy bármely Linux alapú operációs rendszerbe
  • Töltse le a legújabb verziót a Github wget használatával

wget https://github.com/sullo/nikto/archive/master.zip .

  • Kicsomagolás a unzip paranccsal

unzip master.zip

  • Új mappát fog létrehozni, melynek neve „nikto-master”.
  • Menj be a nikto-master mappába>program

cd / nikto-master / program

kivégez nikto.pl a cél domainnel

Jegyzet: a következő figyelmeztetést kaphatja.

+ VIGYÁZAT: A JSON :: PP modul hiányzik. -Mentési és visszajátszási funkciók nem használhatók.

Ha ezt a figyelmeztetést kapja, akkor az alábbiak szerint telepítenie kell a Perl modult.

# yum install perl-CPAN *

Telepítés után futtassa a nikto programot, és rendben legyen.

Ezúttal letapogatást futtatom az Nginx webszerver ellen, hogy megnézem, hogyan teljesít.

./nikto.pl -h 128.199.222.244

nikto-nginx

Amint láthatja az alapértelmezett Nginx-et, a webszerver konfigurációja szintén sebezhető, és ez a biztonsági útmutató segít enyhíteni őket.

Menj tovább és játssz körül a Nikto szoftverrel, és ha többet szeretnél tudni, nézd meg ezt hackelés és penetráció tesztelési tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me