So finden Sie Sicherheitslücken in Webservern mit Nikto Scanner

 Scannen Sie Ihren Webserver mit dem Nikto-Scanner KOSTENLOS auf Schwachstellen und Fehlkonfigurationen


97% der Anwendung getestet von Vertrauenswelle hatte eine oder mehrere Schwächen.

Trustwave-gefährdete Anwendungen

Und 14% des untersuchten Eindringens war auf eine Fehlkonfiguration zurückzuführen. Eine Fehlkonfiguration kann zu ernsthaften Risiken führen.

Vertrauenswellenfaktoren

Es gibt eine Reihe von Online-Schwachstellenscannern, mit denen Sie Ihre Webanwendungen im Internet testen können.

Wenn Sie jedoch Intranet-Anwendungen oder interne Anwendungen testen möchten, können Sie diese verwenden Nikto Web-Scanner.

Nikto ist ein Open Source Scanner von Chris Sullo, und Sie können mit jedem Webserver (Apache, Nginx, IHS, OHS, Litespeed usw.) verwenden. Klingt nach einem perfekten internen Tool zum Scannen von Webservern.

Nikto scannt nach vorbei 6700 Artikel um Fehlkonfigurationen, riskante Dateien usw. zu erkennen, und einige der Funktionen umfassen;

  • Sie können Berichte in HTML, XML, CSV speichern
  • Es unterstützt SSL
  • Scannen Sie mehrere Ports auf dem Server
  • Subdomain finden
  • Apache-Benutzeraufzählung
  • Prüft auf veraltete Komponenten
  • Parkplätze erkennen

Beginnen wir mit der Installation und der Verwendung dieses Tools

Dies kann unter Kali Linux oder einem anderen Betriebssystem (Windows, Mac OS X, Redhat, Debian, Ubuntu, BackTrack, CentOS usw.) installiert werden, das Perl unterstützt.

In diesem Artikel werde ich erklären, wie man auf verwendet Kali Linux & CentOS.

Hinweis: Durch das Durchführen eines Scans werden viele Anfragen an Ihren Webserver gestellt.

Verwenden von Nikto unter Kali Linux

Da es in Kali eingebaut ist, müssen Sie nichts installieren.

  • Melden Sie sich bei Kali Linux an
  • Gehen Sie zu Anwendungen >> Vulnerability Analysis und klicken Sie auf nikto

Kali-Linux-Nitko

Daraufhin wird das Terminal geöffnet, in dem Sie den Scanvorgang für Ihren Webserver ausführen können.

Es gibt mehrere Möglichkeiten / Syntax, mit denen Sie den Scan ausführen können. Der schnellste Weg ist jedoch;

# nikto –h $ webserverurl

Vergessen Sie nicht, $ webserverurl mit der tatsächlichen IP oder dem FQDN Ihres Webservers zu ändern.

[E-Mail geschützt]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ Ziel-IP: 128.199.222.244
+ Zielhostname: thewebchecker.com
+ Zielport: 80
+ Startzeit: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ Server: Apache / 2.4.18 (Ubuntu)
+ Server leckt Inodes über ETags, Header mit Datei / gefunden, Felder: 0x2c39 0x53a938fc104ed
+ Der Anti-Clickjacking-Header für X-Frame-Optionen ist nicht vorhanden.
+ Der X-XSS-Protection-Header ist nicht definiert. Dieser Header kann dem Benutzeragenten einen Hinweis zum Schutz vor einigen Formen von XSS geben
+ Der Header X-Content-Type-Options ist nicht gesetzt. Dies könnte es dem Benutzeragenten ermöglichen, den Inhalt der Site anders als den MIME-Typ zu rendern
+ Keine CGI-Verzeichnisse gefunden (verwenden Sie ‘-C all’, um die Überprüfung aller möglichen Verzeichnisse zu erzwingen)
+ Zulässige HTTP-Methoden: GET, HEAD, POST, OPTIONS
+ Gelegentlich gefundener Header ‘x-ob_mode’ mit folgendem Inhalt: 1
+ OSVDB-3092: / manual /: Webserver-Handbuch gefunden.
+ OSVDB-3268: / manual / images /: Verzeichnisindizierung gefunden.
+ OSVDB-3233: / icons / README: Apache-Standarddatei gefunden.
+ / phpmyadmin /: Verzeichnis phpMyAdmin gefunden
+ 7596 Anforderungen: 0 Fehler und 10 Elemente auf dem Remote-Host gemeldet
+ Endzeit: 2016-08-22 06:54:44 (GMT8) (1291 Sekunden)
—————————————————————————
+ 1 Host (s) getestet

Wie Sie sehen können, widerspricht der obige Scan der Standardkonfiguration von Apache 2.4, und es gibt viele Elemente, die beachtet werden müssen.

  • Clickjacking Attack
  • MIME-Typ Sicherheit

Sie können meine Apache-Sicherheit verweisen & Härtungsanleitung, um diese zu beheben.

Verwenden von Nikto unter CentOS

  • Melden Sie sich bei CentOS oder einem anderen Linux-basierten Betriebssystem an
  • Laden Sie die neueste Version von herunter Github mit wget

wget https://github.com/sullo/nikto/archive/master.zip .

  • Extrahieren Sie mit dem Befehl unzip

entpacke master.zip

  • Es wird ein neuer Ordner namens “nikto-master” erstellt.
  • Gehen Sie in den Ordner nikto-master>Programm

cd / nikto-master / programm

Ausführen nikto.pl mit der Zieldomäne

Hinweis: Möglicherweise wird die folgende Warnung angezeigt.

+ WARNUNG: Modul JSON :: PP fehlt. -Savedir und Wiederholungsfunktion können nicht verwendet werden.

Wenn Sie diese Warnung erhalten, müssen Sie das Perl-Modul wie folgt installieren.

# yum perl-CPAN installieren *

Einmal installiert, führen Sie nikto aus und sollte in Ordnung sein.

Dieses Mal werde ich einen Scan für den Nginx-Webserver durchführen, um zu sehen, wie er funktioniert.

./nikto.pl -h 128.199.222.244

Nikto-Nginx

Wie Sie in Standard-Nginx sehen können, ist auch die Webserverkonfiguration anfällig, und dieses Sicherheitshandbuch hilft Ihnen, diese zu verringern.

Spielen Sie mit der Nikto-Software und wenn Sie mehr erfahren möchten, lesen Sie dies Hacking- und Penetrationstestkurs.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map