Nikto 實作弱點掃描工具

Nikto 是一套開源免費的弱點掃描工具。開發人員在建置網站的過程中,可以藉由此自動化的工具,掃描自己建置的網頁伺服器,是否有存在程式碼的弱點或是漏洞,藉由 Nikto 的檢查能夠在網頁發行前,先檢查出網頁伺服器的漏洞,盡早修補弱點,減少被入侵的風險。
Nikto 弱點掃描工具

由於我們之前有介紹過使用 ITE2 的 NE-201 機型,來架設虛擬的 Manjaro OS,因此這次實作就使用 Manjaro 安裝 Nikto來做弱點掃描工具示範。

安裝 Nikto

首先在 Manjaro 的 Terminal 視窗中,輸入安裝 Nikto的指令
輸入 sudo pacman -Sy

輸入安裝 Nikto 的指令

再執行 sudo pacman -S nikto

輸入安裝 Nikto 的指令

 

系統就會開始自動下載安裝 Nikto套件。

系統自動下載套件

等待一段時間完成安裝後,就可以開始測試執行 Nikto掃描程式。

 

執行 Nikto

我們先輸入 Nikto指令,確認查詢所有功能說明能正常執行。

查詢所有功能

 

接下來我們就開始進行簡單的掃描測試,這裡我們架設了一個網頁伺服器的 IP 是 192.168.50.116

輸入 nikto -h http://192.168.50.116/ 就可以開始掃描了。

掃描測試

 

由於 Nikto是輕量化的弱點掃描工具,使用指令來掃描後,一樣也只會得到命令列的輸出紀錄。
接下來我們再重新掃描一次,但這次的執行指令需要加上輸出格式的設定,用來網頁呈現的弱點掃描報告。

一樣在 Manjaro 的 Terminal 輸入 sudo nikto -h http://192.168.50.116/ -o result.html -F htm

用網頁呈現報告 - 輸入 nikto 指令

 

掃描完成後,回到 Manjaro 檔案管理員,並且找到 Nikto掃描的輸出結果。

檢視結果

 

點擊剛剛產生的 result.html,並使用 Firefox 瀏覽器開啟檔案。

檢視 nikto 掃描結果

就可以得到掃描後的網頁報告了,上述是基本的掃描指令,以及基本的輸出結果。

 

進階操作

接下來我們使用進階的 -evasion 指令,可以設定共 123456 種模式,繞過反入侵偵測 IDS 設備來進行弱點掃描。

一樣對網頁伺服器 192.168.50.116 來測試。
在 Manjaro 的 Terminal 輸入指令 sudo nikto -h http://192.168.50.116/ -evasion 123456 -o result.html -F htm

繞過反入侵偵測IDS設備來進行弱點掃描

 

掃描完成後,一樣回到 Manjaro 檔案管理員找到剛剛產出的 result.htm,利用 Firefox 瀏覽器開啟檔案,就可以查看進階掃描的結果了。

檢視結果

檢視結果-2

檢視結果-3

這樣就可以得到更多的詳細資訊了。

以上就是 Nikto的弱點掃描實作,藉由掃描的結果,希望能幫助開發人員提早發現安全漏洞,並進行修補。降低安全風險,以免遭受駭客入侵。


發佈留言