介绍
在这篇文章中,您将了解什么是 Nikto 以及它是如何工作的,以及完整的命令教程,在这篇文章结束时,您将更加熟悉该工具。
一、什么是Nikto?
Nikto是一个基于Web的漏洞扫描器,它是用perl语言编写的开源软件。这些工具的主要目标是进行漏洞扫描。
该工具扫描站点上常见的6,800个漏洞。该工具还从未打补丁的站点扫描250个平台。还在网络服务器文件中发现一些漏洞。
二、Nikto工具中的功能
- SSL支持(带有OpenSSL的unix或者可能带有ActiveState的windows
- Perl/
NetSSL) - 完整的HTTP代理支持
- 检查过时的服务器组件
- 以纯文本,XML,HTML,NBE或CSV格式保存报告
- 可轻松自定义报告的模板
- 通过输入文件(包括nmap输出)扫描服务器上的多个端口或多个服务器
- LibWhisker的IDS编码技术
- 通过命令行轻松更新
- 通过标头,网站图标和文件识别已安装的软件
- 使用Basic和NTLM进行主机身份验证
- 子域名猜测
- Apache和cgiwrap用户名列举
- “钓鱼”网络服务器内容的变异技术
- 扫描调整以包括或排除整类漏洞
- 检查
- 猜测授权领域的凭据(包括许多默认的id/pw组合)
- 授权猜测处理任何目录,而不仅仅是根目录
- 目录
- 通过多种方法增强误报减少:标题
- 页面内容和内容散列
- 报告看到的“异常”标题
- 交互状态,暂停和更改详细设置
- 保存测试的完整请求/响应
- 重播保存的积极请求
- 每个目标的最大执行时间
- 在指定时间自动暂停
Nikto工具中的命令有
-config+ 使用此配置文件
-Display 打开/关闭显示输出
-dbcheck 检查数据库和其他关键文件的语法错误
-Format 保存文件(-o)格式
-help 扩展帮助信息
-host 目标主机/URL
-id 要使用的主机身份验证,格式为id:pass或id:pass:realm
-list-plugins 插件列出所有可用的插件
-output 将输出写入此文件
-nossl 禁用使用SSL
-no404 禁用404检查
-Plugins 要运行的插件列表(默认值:ALL)
-port 要使用的端口(默认值为80)
-root 将根值前置到所有请求,格式为/directory
-ssl 在端口上强制ssl模式
-timeout 请求超时(默认为10秒)
-Update 从CIRT.net更新数据库和插件
-version 打印插件和数据库版本
-vhost 虚拟主机(用于主机标头)
如何使用Nikto工具?
只需按照下面的示例进行操作,我相信在本文结束时您会使用它的
1.安装Nikto
sudo apt-get install nikto
2.标准扫描
标准扫描就是直接扫描
nikto -h baidu.com
我扫描的是百度,当然你也可以输入你自己的目标
3.对目标SSl或TLS扫描
nikto -h nikto
4.扫描特定/多个端口
nikto -h baidu.com -port 80
文章来源:https://www.toymoban.com/news/detail-492259.html
5.忽略某些HTTP代码
nikto -h baidu.com -no404
结论:
总之,这是扫描漏洞最佳工具文章来源地址https://www.toymoban.com/news/detail-492259.html
到了这里,关于Nikto:从零开始到专业版的完整教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
