Nikto扫描器,扫描网站信息

于 2024-07-04 16:28:08 发布
阅读量772 收藏 13
点赞数 3
CC 4.0 BY-SA版权
文章标签: nikto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunyuhua_keyboard/article/details/140182876

Nikto 是一个功能强大的开源 Web 服务器扫描器,能够检测出 Web 服务器中的常见漏洞和配置错误。下面是如何安装和使用 Nikto 的步骤。

安装 Nikto

在 Ubuntu 22.04 上安装 Nikto:

sudo apt update
sudo apt install nikto

使用 Nikto 进行扫描

  1. 基本扫描

    使用 Nikto 扫描一个 Web 服务器,执行以下命令:

    nikto -h <目标网址或IP地址>

    示例:

    nikto -h www.example.com

  2. 扫描指定端口

    如果 Web 服务器运行在非默认端口上,可以指定端口进行扫描:

    nikto -h <目标网址或IP地址> -p <端口号>

    示例:

    nikto -h www.example.com -p 8080

  3. 输出结果到文件

    可以将扫描结果保存到文件中以便稍后查看:

    nikto -h <目标网址或IP地址> -o <输出文件名> -F <输出格式>

    其中 <输出格式> 可以是 txt, csv, htm, nbe 等格式。

    示例:

    nikto -h www.example.com -o scan_results.txt -F txt

  4. 使用 SSL 扫描

    如果目标网站使用 HTTPS,可以使用 -ssl 选项:

    nikto -h <目标网址或IP地址> -ssl

    示例:

    nikto -h www.example.com -ssl

  5. 使用代理进行扫描

    如果你需要通过代理进行扫描,可以使用以下命令:

    nikto -h <目标网址或IP地址> -useproxy <代理地址:端口>

    示例:

    nikto -h www.example.com -useproxy 127.0.0.1:8080

示例输出

运行以下命令:

nikto -h www.example.com

可能会得到如下输出:

- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          93.184.216.34
+ Target Hostname:    www.example.com
+ Target Port:        80
+ Start Time:         2024-07-04 12:34:56 (GMT)
---------------------------------------------------------------------------
+ Server: Apache/2.4.7 (Ubuntu)
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This can allow the user agent to interpret files as a different MIME type
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS 
+ OSVDB-3092: /admin/: This might be interesting...
+ OSVDB-3268: /icons/: Directory indexing is enabled
+ OSVDB-3092: /test/: This might be interesting...
+ 6474 requests: 0 error(s) and 8 item(s) reported on remote host
+ End Time:           2024-07-04 12:35:56 (GMT) (60 seconds)
---------------------------------------------------------------------------

解释

  • Target IP: 目标服务器的 IP 地址。
  • Target Hostname: 目标服务器的主机名。
  • Target Port: 扫描的端口号。
  • Start Time: 扫描开始时间。
  • Server: 目标服务器的服务器类型和版本。
  • 扫描结果: 列出了发现的潜在漏洞和配置问题,例如未设置的安全头部、启用的目录索引等。
  • End Time: 扫描结束时间。

通过这些步骤和命令,你可以使用 Nikto 来检测 Web 服务器中的潜在漏洞,并采取相应的安全措施。如果你有任何进一步的问题或需要更详细的解释,请告诉我。

web扫描工具---nikto
weixin_59114667的博客
02-25 1007
Nikto是基于perl语言开发的web页面扫描器,可以对web服务器进行多项安全测试,它可以扫描指定主机的web类型、主机名、指定目录、特定CGI漏洞、返回主机允许的HTTP模式等
Nikto一键扫描Web服务器(KALI工具系列三十)
LNN0212的博客
06-23 1696
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Nikto 是一个开源的 Web 服务器扫描工具,用于检测 Web 服务器中的常见漏洞和配置错误。
Nikto 网页服务器扫描器
无痕的博客
12-13 1604
Nikto 网页服务器扫描器
nikto -扫描web服务器以查找已知漏洞
weixin_44686157的博客
01-11 779
简介 nikto [options...] 描述 检查web服务器以查找潜在问题和安全漏洞,包括: •服务器和软件配置错误 •默认文件和程序 •不安全的文件和程序 •过时的服务器和程序 Nikto基于LibWhisker(通过RFP)构建,可以在任何平台上运行Perl环境。它支持SSL、代理、主机身份验证、IDS规避和更多。它可以从命令行自动更新,并支持可选地将更新的版本数据提交回维护者。...
使用Nikto自动扫描
2301_78146372的博客
11-29 1788
Nikto是一个开放源码(GPL)的web服务器扫描器,它对web服务器上的多个项目执行全面的测试,包括超过6700个潜在的危险文件/程序,检查超过1250个服务器的过期版本,以及270多个服务器上的特定于版本的问题。在这里,我们可以根据Scope(开始扫描的位置,在什么上下文等)配置我们的扫描,输入向量(选择是否要在GET和POST 请求中测试值,标题,cookie和其他选项),自定义向量(将原始请求中的特定字符或单词添加为攻击向量),技术(要执行的技术特定测试)和策略(选择特定测试的配置参数)。
nmap和nikto扫描
SimoSimoSimo的博客
06-18 2452
先通过本机的VMware启动Kali攻击机和Metasploitable2靶机使用 或者 先看一下靶机的ip地址在Kali里面使用 + 先用默认的方式对靶机进行扫描默认扫描会默认扫描1000个最常用的端口,这种方式会显示出扫描目标的端口开放状态以及对应的服务,也会显示靶机的一些其他信息比如MAC地址,甚至nmap的目录里面还会识别出这个靶机的物理设备是来自哪里这里只扫到了open的端口,实际上也还有其他的端口状态如果我们只想要知道某个端口的状态信息怎么办呢,nmap还有个命令参数 可以指定扫描的端
nikto:Nikto Web服务器扫描
04-28
Nikto的Web服务器扫描仪- 完整文档 正常运行: git clone https://github.com/sullo/nikto # Main script is in program/ cd nikto/program # Run using the shebang interpreter ./nikto.pl -h ...
漏洞扫描软件-nikto使用
小人物的编程
04-29 1631
Nikto是一个开放源码(GPL)的web服务器扫描器,它对web服务器上的多个项目执行全面的测试,包括超过6700个潜在的危险文件/程序,检查超过1250个服务器的过期版本,以及270多个服务器上的特定于版本的问题。它还检查服务器配置项,如是否存在多个索引文件、HTTP服务器选项,并尝试标识已安装的 web服务器和软件。扫描项目和插件经常更新比较活跃并且可以自动更新
信息安全技术使用Nikto进行扫描
abdiltip047的博客
06-19 825
Nikto使用perl语言编写,是一个开放源码(GPL, GNU General Public License)的web服务器扫描器,它对web服务器上的多个项目执行全面的测试,包括超过6700个潜在的危险文件/程序,检查超过1250个服务器的过期版本,以及270多个服务器上的特定版本的问题。-o选项告诉它在哪里存储输出,“o”是"output"的缩写,文件的扩展名决定它将采用的格式。命令中,参数“-h”是host的缩写,告诉Nikto扫描哪个主机,本例中使用的是域名方式,其它情况下可以换成IP地址。
nikto 进行web安全扫描
忘一 Blog
06-21 7353
1. 安装 nikto 1.1. 安装 perlcentos 6.8 默认的 Perl 5.10 不行,报错 ERROR: Required module not found: Time::HiRes安装了最新的 Perl 5.26 可以运行1.2. 安装 libwhisker1 2 3 4 5wget https://10gbps-io.dl.sourceforge.net/project/wh...
Nikto安全扫描工具
08-14
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins templates root@91ri.org:/pentest/web/nikto# ./nikto.pl -h Option host requires an argument -config+ Use this config file -Cgidirs+ scan these CGI dirs: ‘none’, ‘all’, or values like “/cgi/ /cgi-a/” -dbcheck check database and other key files for syntax errors -Display+ Turn on/off display outputs -evasion+ ids evasion technique -Format+ save file (-o) format -host+ target host -Help Extended help information -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -mutate+ Guess additional file names -mutate-options+ Provide extra information for mutations -output+ Write output to this file -nocache Disables the URI cache -nossl Disables using SSL -no404 Disables 404 checks -port+ Port to use (default 80) -Plugins+ List of plugins to run (default: ALL) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Single Single request mode -timeout+ Timeout (default 2 seconds) -Tuning+ Scan tuning -update Update databases and plugins from CIRT.net -vhost+ Virtual host (for Host header) -Version Print plugin and database versions + requires a value Note: This is the short help output. Use -H for full help. 升级插件 root@91ri.org:/pentest/web/nikto# ./nikto.pl -update -h 指定扫描的目标 –p 端口 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -p 80 -C 指定CGI目录 –all表示猜解CGI目录 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -C all -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -T 9 -D指定输出显示 2显示cookies root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -D 2 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2 检查错误配置或默认文件 3检查信息泄露问题 4 检查XSS/Script/HTML问题 5 从根目录检查是否存在可访问的文件 6 检查拒绝服务问题 7 从任意文件检索是否存在可访问文件 8 检查是否存在系统命令执行漏洞 9 检查SQL注入漏洞 a 检查认证绕过问题 b 识别安装的软件版本 c 检查源代码泄露问题 x 反向链接选项
Nikto
wwwwwhdn的博客
11-07 562
Nikto是一款常用的开源网络安全扫描工具,专门用于发现和评估Web服务器上的潜在安全漏洞和配置错误。它由CIRT(计算机应急响应团队)开发,并广泛用于安全测试、漏洞评估和渗透测试。Nikto能够对目标主机进行全面的扫描,包括对常见漏洞、敏感文件和目录、不安全的配置等进行检查。它通过发送HTTP请求并分析服务器的响应来发现潜在的安全问题。Nikto能够检查多个方面的安全性,如服务器配置、CGI脚本、默认文件、SSL/TLS设置等。
nikto扫描测试
Deeeelete的博客
01-29 1029
工具kali自带,但因为现在nikto之后的更新已经转移到github去了,国内kali中的nikto -update已经获取不到最新的版本,如需最新版本可以下方自取,这里就用自带的工具进行演示了。 nikto github下载:https://github.com/sullo/nikto nikto 官网下载页:https://cirt.net/Nikto2 nikto历史版本:https:...
Web扫描Nikto的使用
不忘初心,护天下安全!
11-25 2627
前面有写:https://blog.youkuaiyun.com/qq_37865996/article/details/84112405 dvwa的使用 NIKTO的使用 扫描某官网443: 测试页面泄漏在外网漏洞(OSVDB-3092 http://osvdb.org/3092 ) 安全隐患:由于这些测试页面也有可能是黑客遗留的,所以有被竞争对手炒作打压的隐患 建议...
信息技术(二)-使用Nikto进行扫描
mdksa的博客
06-26 1113
要开始扫描文档,请在 Nikto的“编辑”菜单上单击“过滤器”选项卡,然后选择“文件”。“nikto”用于选择需要扫描的页面,“omics”用于选择需要扫描的页数,“allies”用于选择要扫描的页数(取决于页面),“scanf”用于扫描任何数字文档或文本文档(包括图像)。如果您已经添加到 kali的 Nikto中,但您仍然无法扫描文档,则可能是因为在 Kali中没有可用的 Nikto软件。设置为要扫描的文档后,请点击“选择”按钮,然后将鼠标指针放在要扫描的位置上,然后选择要扫描的文件。
漏洞扫描工具—nikto
dubinglin的博客
04-05 1万+
nikto nikto是一款扫描指定主机的web类型,主机名。特定目录,cookie,特定cgi漏洞,xss漏洞,sql漏洞,返回主机允许的http方法等安全问题的工具。   1.下载nikto http://www.cirt.net/nikto2 2.下载pl解读环境activeperl,如果是文件包格式要自己设置perl.exe环境变量 http://www.activestate
[网站扫描]Nikto
0ffs3t
12-25 1253
Nikto是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,能在230多种服务器上扫描出2600 多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。Nikto是网管安全人员必备的WE
Web漏洞扫描神器Nikto使用指南
热门推荐
liver100day的博客
11-18 2万+
文章目录工具简介工具下载链接nikto安装nikto基础语句指定端口进行扫描指定目录进行扫描多目标扫描其他功能扫描结果输出Nikto扫描交互参数IDS 躲避使用代理扫描后言 工具简介 Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。但其软件本身并不经常更新,最新和最危险的可能会检测不到。 工具下载链接 官方网站:https://cir
Nikto: 快速、高效的Web服务器安全扫描工具
gitblog_00041的博客
03-18 806
Nikto: 快速、高效的Web服务器安全扫描工具 Nikto 是一个开源的 Web 服务器安全扫描工具,用于检测 web 应用程序和服务中的漏洞和不安全配置。它支持多种协议(如 HTTP/HTTPS),并提供了丰富的插件以扩展其功能。 Nikto 能用来做什么? Web 漏洞检测: Nikto 可以自动扫描目标网站,寻找可能存在的漏洞,例如过时的软件版本、易受攻击的服务等。 配置审查: ...
nikto
最新发布
03-09
### Nikto 安全漏洞扫描工具简介 Nikto 是一款专门用于扫描 Web 服务器的安全评估工具,能够识别多种类型的潜在安全风险。该工具可以检测超过 6700 种危险文件/程序,并检查配置错误以及过期的 cgi 文件等问题[^3]。 ### 获取与安装 对于大多数 Linux 发行版而言,可以通过包管理器轻松获取 Nikto: #### Ubuntu / Debian ```bash sudo apt-get update && sudo apt-get install nikto ``` #### CentOS / RHEL ```bash yum install epel-release yum install nikto ``` 或者也可以直接从源码编译安装最新版本。 ### 基本命令选项 - `-h` 或者 `--host`: 指定目标主机地址。 - `-p` 或者 `--port`: 设置端口号,默认为80 (HTTP) 和443 (HTTPS)。 - `-o` 或者 `--output`: 输出报告到指定文件中保存结果。 - `-Tuning` : 控制插件执行行为, 可以选择不同的组合来优化性能或覆盖范围。 例如要对某网站进行全面扫描并导出HTML格式的结果: ```bash nikto -h http://example.com -o report.html -Format html ``` ### 高级功能介绍 除了基本的功能外,Nikto 还支持自定义插件扩展其能力;允许用户创建自己的测试脚本来满足特殊需求。此外还提供了代理设置、SSL/TLS 支持等功能以便更好地适应各种环境下的应用。 ### 注意事项 尽管 Nikto 功能强大,在实际操作前应当获得合法授权以免触犯法律。同时由于某些高强度扫描可能会给目标站点带来较大负载甚至影响正常服务,请谨慎调整参数强度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值