Vizsgálja meg webszerverét sebezhetőségek és téves konfigurációk szempontjából INGYEN a Nikto szkennerrel
97% alkalmazás által tesztelt Trustwave volt egy vagy több gyengesége.
És 14% A vizsgált betolakodás téves konfigurációja okozta. A téves konfiguráció komoly kockázatokhoz vezethet.
Számos online sebezhetőségi szkenner tesztelheti webes alkalmazásokat az interneten.
Ha azonban intranet vagy házon belüli alkalmazásokat szeretne tesztelni, akkor használhatja Nikto internetes szkenner.
A Nikto egy nyílt forrású szkenner, amelyet írta Chris Sullo, és bármilyen webszerverrel (Apache, Nginx, IHS, OHS, Litespeed stb.) használható. Úgy hangzik, mint egy tökéletes házon belüli eszköz a webszerver szkenneléséhez.
A Nikto átkutatta 6700 elem téves konfiguráció, kockázatos fájlok stb. felismerésére, és a szolgáltatások néhány eleme tartalmazza;
- A jelentést HTML, XML, CSV formátumban mentheti
- Támogatja az SSL-t
- Szkenneljen több portot a szerveren
- Aldomain keresése
- Apache felhasználói felsorolás
- Elavult alkatrészek ellenőrzése
- Fedezze fel a parkolóhelyeket
Kezdjük a telepítéssel és az eszköz használatával
Ez telepíthető a Kali Linux rendszerre vagy más Perl-t támogató operációs rendszerre (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS stb.).
Ebben a cikkben elmagyarázom, hogyan kell használni Kali Linux & CentOS.
Jegyzet: a szkennelés végrehajtása sok kérést tesz a webszerverre.
A Nikto használata a Kali Linux rendszeren
Mivel Kali-ban beépítették, nem kell telepítenie semmit.
- Bejelentkezés a Kali Linux rendszerbe
- Lépjen az Alkalmazások oldalra >> Sebezhetőség elemzése és kattintson a nikto elemre
Megnyitja a terminált, ahol futtathatja a szkennelést a webszerverrel szemben.
A vizsgálat elvégzéséhez többféle módszer / szintaxis használható. Ennek leggyorsabb módja azonban;
# nikto –h $ webszerver
Ne felejtsd el megváltoztatni a $ webserverurl webszerver aktuális IP-jét vagy FQDN-jét.
[Email protected]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Cél IP: 128.199.222.244
+ Célgépnév: thewebchecker.com
+ Célport: 80
+ Kezdési idő: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Szerver: Apache / 2.4.18 (Ubuntu)
+ A szerver beszivárog az ETags-on keresztül, fejléc található a fájl / mezőkkel: 0x2c39 0x53a938fc104ed
+ A kattintás elleni X-Frame-Options fejléc nincs jelen.
+ Az X-XSS-Protection fejléc nincs meghatározva. Ez a fejléc utalhat a felhasználói ügynökre, hogy megvédje az XSS egyes formáit
+ Az X-Content-Type-Options fejléc nincs beállítva. Ez lehetővé tenné a felhasználói ügynök számára, hogy a webhely tartalmát a MIME típusától eltérő módon jelenítse meg
+ Nem található CGI könyvtárak (a „-C all” használatával ellenőrizze az összes lehetséges dirt)
+ Engedélyezett HTTP módszerek: GET, HEAD, POST, OPTIONS
+ Nem található az ‘x-ob_mode’ fejléc, tartalma: 1
+ OSVDB-3092: / manual /: Talált webszerver kézikönyv.
+ OSVDB-3268: / kézi / images /: Találat könyvtár-indexelésre.
+ OSVDB-3233: / icons / README: Az Apache alapértelmezett fájl található.
+ / phpmyadmin /: a phpMyAdmin könyvtár található
+ 7596 kérés: 0 hiba (ok) és 10 elem (ek) jelentése a távoli gazdagépen
+ Vége: 2016-08-22 06:54:44 (GMT8) (1291 másodperc)
—————————————————————————
+ 1 gazdagépet teszteltünk
Mint láthatja, a fenti vizsgálat ellentétes az Apache 2.4 alapértelmezett konfigurációjával, és sok elemre figyelni kell.
- Clickjacking Attack
- MIME típusú biztonság
Hivatkozhat az Apache Biztonságomra & Edzési útmutató ezek javításához.
A Nikto használata a CentOS-on
- Jelentkezzen be a CentOS vagy bármely Linux alapú operációs rendszerbe
- Töltse le a legújabb verziót a Github wget használatával
wget https://github.com/sullo/nikto/archive/master.zip .
- Kicsomagolás a unzip paranccsal
unzip master.zip
- Új mappát fog létrehozni, melynek neve „nikto-master”.
- Menj be a nikto-master mappába>program
cd / nikto-master / program
kivégez nikto.pl a cél domainnel
Jegyzet: a következő figyelmeztetést kaphatja.
+ VIGYÁZAT: A JSON :: PP modul hiányzik. -Mentési és visszajátszási funkciók nem használhatók.
Ha ezt a figyelmeztetést kapja, akkor az alábbiak szerint telepítenie kell a Perl modult.
# yum install perl-CPAN *
Telepítés után futtassa a nikto programot, és rendben legyen.
Ezúttal letapogatást futtatom az Nginx webszerver ellen, hogy megnézem, hogyan teljesít.
./nikto.pl -h 128.199.222.244
Amint láthatja az alapértelmezett Nginx-et, a webszerver konfigurációja szintén sebezhető, és ez a biztonsági útmutató segít enyhíteni őket.
Menj tovább és játssz körül a Nikto szoftverrel, és ha többet szeretnél tudni, nézd meg ezt hackelés és penetráció tesztelési tanfolyam.
