nikto是一款開源的(GPL)網(wǎng)頁服務(wù)器掃描工具,采用命令行模式操作,支持對web服務(wù)器多種安全項目進(jìn)行測試,能在230多種服務(wù)器上掃描出2600多種有潛在危險的文件、CGI及其他問題,它可以掃描指定主機(jī)的WEB類型、主機(jī)名、特定目錄、COOKIE、特定CGI漏洞、返回主機(jī)允許的 http模式等等,是網(wǎng)管安全人員必備的WEB審計工具之一。
nikto是基于PERL開發(fā)的程序,所以需要PERL環(huán)境,支持Windows(使用ActiveState Perl環(huán)境)、Mac OSX、多種Linux 或Unix系統(tǒng)。它也使用LibWhiske庫,但通常比Whisker更新的更為頻繁,是一款非常棒的WEB掃描評估軟件。
功能介紹
1、使用Rain Forest Puppy的LibWhisker實現(xiàn)HTTP功能,并且可以檢查HTTP和HTTPS
2、支持基本的端口掃描以判定網(wǎng)頁服務(wù)器是否運(yùn)行在其他開放端口
3、可以使用'update'選項從主版本站點自動更新,以應(yīng)對新的弱點
4、可以在啟動時加載用戶自定義的檢測規(guī)則,當(dāng)然前提是自定義檢測規(guī)則已經(jīng)放在了
user_scan_database.db文件內(nèi)(這個文件在插件目錄下),即使使用-update選項升級,自定義的檢測規(guī)則也不會被覆蓋
5、具有反入侵探測(IDS)功能
6、Nikto可用來檢查網(wǎng)頁服務(wù)器和其他多個范疇內(nèi)的項目:錯誤的配置、默認(rèn)文件和腳本、不安全的文件和腳本、過時軟件等
nikto使用教程
1、nikto在windows系統(tǒng)中使用需要依賴于ActiveState Perl環(huán)境,所以大家在操作nikto之前請先下載安裝ActivePerl程序。
下載地址為:http://abc9131.cn/softdown/28027.htm
2、安裝完畢ActivePerl之后,添加 Perl到PATH環(huán)境中并創(chuàng)建Perl文件關(guān)聯(lián),打開CMD窗口,檢測當(dāng)前ActivePerl環(huán)境是否安裝完成
3、解壓壓縮包文件,在cmd(命令行模式)窗口中,進(jìn)入nikto.pl路徑。
perl nikto.pl -h x.x.x.x -p 80,8080 -o report.log,指定ip、端口、輸出文件,進(jìn)行操作檢測。
nikto的選項說明
-Cgidirs
掃描CGI目錄
-config
使用指定的config文件來替代安裝在本地的config.txt文件
-dbcheck
選擇語法錯誤的掃描數(shù)據(jù)庫
-evasion
使用LibWhisker中對IDS的躲避技術(shù),可使用以下幾種類型:
1.隨機(jī)URL編碼(非UTF-8方式)
2.自選擇路徑(/./)
3.虛假的請求結(jié)束
4.長的URL請求
5.參數(shù)隱藏
6.使用TAB作為命令的分隔符
7.大小寫敏感
8.使用Windows路徑分隔符\替換/
9.會話重組
-findonly
僅用來發(fā)現(xiàn)HTTP和HTTPS端口,而不執(zhí)行檢測規(guī)則
-Format
指定檢測報告輸出文件的格式,默認(rèn)是txt文件格式(csv/txt/htm)
-host
目標(biāo)主機(jī),主機(jī)名、IP地址、主機(jī)列表文件
-id
ID和密碼對于授權(quán)的HTTP認(rèn)證,格式:id:password
-mutate
變化猜測技術(shù)
1.使用所有的root目錄測試所有文件
2.猜測密碼文件名字
3.列舉Apache的用戶名字(/~user)
4.列舉cgiwrap的用戶名字(/cgi-bin/cgiwrap/~user)
-nolookup
不執(zhí)行主機(jī)名查找
-output
報告輸出指定地點
-port
掃描端口指定,默認(rèn)為80端口。
-Pause
每次操作之間的延遲時間
- Display
控制Nikto輸出的顯示
1.直接顯示信息
2.顯示的cookies信息
3.顯示所有200/OK的反應(yīng)
4.顯示認(rèn)證請求的URLs
5.Debug輸出
-ssl
強(qiáng)制在端口上使用SSL模式
-Single
執(zhí)行單個對目標(biāo)服務(wù)的請求操作。
-timeout
每個請求的超時時間,默認(rèn)為10秒
-Tuning
Tuning 選項控制Nikto使用不同的方式來掃描目標(biāo)。
0.文件上傳
1.日志文件
2.默認(rèn)的文件
3.信息泄漏
4.注射(XSS/Script/HTML)
5.遠(yuǎn)程文件檢索(Web 目錄中)
6.拒絕服務(wù)
7.遠(yuǎn)程文件檢索(服務(wù)器)
8.代碼執(zhí)行-遠(yuǎn)程shell
9.SQL注入
a.認(rèn)證繞過
b.軟件關(guān)聯(lián)
g.屬性(不要依懶banner的信息)
x.反向連接選項
-useproxy
使用指定代理掃描
-update
更新插件和數(shù)據(jù)庫
- 下載地址
發(fā)表評論
0條評論軟件排行榜
- 1設(shè)備網(wǎng)絡(luò)搜索工具sadp v3.0.0.9官方版
- 2charles電腦版抓包工具 v4.6.7
- 3wireshark 32位中文版 v3.6.24官方版
- 4超級網(wǎng)管(SuperLANadmin) v5.2破解版
- 5Nmap(端口掃描工具) v6.40漢化版
- 6IPCam Suite網(wǎng)絡(luò)攝像機(jī)搜索工具 v1.2.24
- 7TCP/UDP Socket調(diào)試工具 v2.3綠色中文版
- 8lan speed test(含服務(wù)端和客戶端) v3.4注冊版
- 9netlimiter 4 pro(網(wǎng)絡(luò)流量監(jiān)控軟件) v4.0.53中文特別版
- 10360流量監(jiān)控器獨(dú)立版 v1.0.6綠色版
熱門推薦
- 網(wǎng)速管家電腦版 v3.8.2官方版123.3M / 簡體中文
- EasyNetMonitor網(wǎng)絡(luò)監(jiān)視工具 v4.0.1.5免費(fèi)版273K / 英文
- 360網(wǎng)絡(luò)測速器電腦版 v5.1官方版2.67M / 簡體中文
- wireshark中文版 v4.2.5官方版82.4M / 簡體中文
- speedtest電腦版 v1.13.194.150.26M / 簡體中文
- pajek官方版 v5.1.8官方版21.33M / 英文
- networkspeedmoniter v1.35官方版97K / 簡體中文
- CurrPorts(網(wǎng)絡(luò)監(jiān)測) v2.75漢化版115K / 簡體中文
- SRSniffer(網(wǎng)絡(luò)嗅探器) v0.61綠色版31K / 簡體中文
- DU Meter(網(wǎng)速監(jiān)測工具) v8.01官方中文版7.67M / 簡體中文