首 頁
手機(jī)版

niktoWEB掃描評估軟件 v2.1.6官方版

nikto是一款開源的(GPL)網(wǎng)頁服務(wù)器掃描工具,采用命令行模式操作,支持對web服務(wù)器多種安全項目進(jìn)行測試,能在230多種服務(wù)器上掃描出2600多種有潛在危險的文件、CGI及其他問題,它可以掃描指定主機(jī)的WEB類型、主機(jī)名、特定目錄、COOKIE、特定CGI漏洞、返回主機(jī)允許的 http模式等等,是網(wǎng)管安全人員必備的WEB審計工具之一。

nikto是基于PERL開發(fā)的程序,所以需要PERL環(huán)境,支持Windows(使用ActiveState Perl環(huán)境)、Mac OSX、多種Linux 或Unix系統(tǒng)。它也使用LibWhiske庫,但通常比Whisker更新的更為頻繁,是一款非常棒的WEB掃描評估軟件。

功能介紹

1、使用Rain Forest Puppy的LibWhisker實現(xiàn)HTTP功能,并且可以檢查HTTP和HTTPS

2、支持基本的端口掃描以判定網(wǎng)頁服務(wù)器是否運(yùn)行在其他開放端口

3、可以使用'update'選項從主版本站點自動更新,以應(yīng)對新的弱點

4、可以在啟動時加載用戶自定義的檢測規(guī)則,當(dāng)然前提是自定義檢測規(guī)則已經(jīng)放在了

user_scan_database.db文件內(nèi)(這個文件在插件目錄下),即使使用-update選項升級,自定義的檢測規(guī)則也不會被覆蓋

5、具有反入侵探測(IDS)功能

6、Nikto可用來檢查網(wǎng)頁服務(wù)器和其他多個范疇內(nèi)的項目:錯誤的配置、默認(rèn)文件和腳本、不安全的文件和腳本、過時軟件等

nikto使用教程

1、nikto在windows系統(tǒng)中使用需要依賴于ActiveState Perl環(huán)境,所以大家在操作nikto之前請先下載安裝ActivePerl程序。

下載地址為:http://abc9131.cn/softdown/28027.htm

2、安裝完畢ActivePerl之后,添加 Perl到PATH環(huán)境中并創(chuàng)建Perl文件關(guān)聯(lián),打開CMD窗口,檢測當(dāng)前ActivePerl環(huán)境是否安裝完成

3、解壓壓縮包文件,在cmd(命令行模式)窗口中,進(jìn)入nikto.pl路徑。

perl nikto.pl -h x.x.x.x -p 80,8080 -o report.log,指定ip、端口、輸出文件,進(jìn)行操作檢測。

nikto的選項說明

-Cgidirs

掃描CGI目錄

-config

使用指定的config文件來替代安裝在本地的config.txt文件

-dbcheck

選擇語法錯誤的掃描數(shù)據(jù)庫

-evasion

使用LibWhisker中對IDS的躲避技術(shù),可使用以下幾種類型:

1.隨機(jī)URL編碼(非UTF-8方式)

2.自選擇路徑(/./)

3.虛假的請求結(jié)束

4.長的URL請求

5.參數(shù)隱藏

6.使用TAB作為命令的分隔符

7.大小寫敏感

8.使用Windows路徑分隔符\替換/

9.會話重組

-findonly

僅用來發(fā)現(xiàn)HTTP和HTTPS端口,而不執(zhí)行檢測規(guī)則

-Format

指定檢測報告輸出文件的格式,默認(rèn)是txt文件格式(csv/txt/htm)

-host

目標(biāo)主機(jī),主機(jī)名、IP地址、主機(jī)列表文件

-id

ID和密碼對于授權(quán)的HTTP認(rèn)證,格式:id:password

-mutate

變化猜測技術(shù)

1.使用所有的root目錄測試所有文件

2.猜測密碼文件名字

3.列舉Apache的用戶名字(/~user)

4.列舉cgiwrap的用戶名字(/cgi-bin/cgiwrap/~user)

-nolookup

不執(zhí)行主機(jī)名查找

-output

報告輸出指定地點

-port

掃描端口指定,默認(rèn)為80端口。

-Pause

每次操作之間的延遲時間

- Display

控制Nikto輸出的顯示

1.直接顯示信息

2.顯示的cookies信息

3.顯示所有200/OK的反應(yīng)

4.顯示認(rèn)證請求的URLs

5.Debug輸出

-ssl

強(qiáng)制在端口上使用SSL模式

-Single

執(zhí)行單個對目標(biāo)服務(wù)的請求操作。

-timeout

每個請求的超時時間,默認(rèn)為10秒

-Tuning

Tuning 選項控制Nikto使用不同的方式來掃描目標(biāo)。

0.文件上傳

1.日志文件

2.默認(rèn)的文件

3.信息泄漏

4.注射(XSS/Script/HTML)

5.遠(yuǎn)程文件檢索(Web 目錄中)

6.拒絕服務(wù)

7.遠(yuǎn)程文件檢索(服務(wù)器)

8.代碼執(zhí)行-遠(yuǎn)程shell

9.SQL注入

a.認(rèn)證繞過

b.軟件關(guān)聯(lián)

g.屬性(不要依懶banner的信息)

x.反向連接選項

-useproxy

使用指定代理掃描

-update

更新插件和數(shù)據(jù)庫

收起介紹展開介紹
  • 下載地址
niktoWEB掃描評估軟件 v2.1.6官方版

有問題? 點此報錯

發(fā)表評論

0條評論