安全牛任务072 web渗透:扫描工具 nikto

最新推荐文章于 2025-04-04 10:45:04 发布
最新推荐文章于 2025-04-04 10:45:04 发布
阅读量343 收藏
点赞数
分类专栏: KALI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43415644/article/details/110070718
版权

0x00 Httrack

将目标网站克隆到本地,减少与目标系统的交互

httrack

0x01 扫描工具

扫描是一定要做的,只是做的方式不同。

#nikto

perl语言开发的开源web安全扫描器

搜索存在安全隐患的文件、服务器配置漏洞

web扫描工具的基本原理:

写一个字典,然后去请求字典中所有的页面,然后检查服务器返回的响应报文,200存在,404不存在。以前的扫描器只看返回的响应码,但是有些厂商不遵守RFC标准,页面不存在也给你返回一个200,所以,后来扫描工具即便是返回200也会检查响应报文的body

nikto -update 更新数据库和插件
nikto -list -plugins 查看插件
nikto -host 目标url  指定扫描目标
nikto -host ip地址 -port 端口
nikto -host www.baidu.com -port 443  -ssl  #扫描 https 协议的站点
nikto -host xxx -output #将扫描结果导出
nikto -host host.txt #扫描文件中的所有网址
nmap -p80 192.168.1.0/24 -oG - | nikto -host - 
#先用nmap扫描内网中所有开了80端口的网址,然后将这些网址管道传送给nikto
nikto -host http://192.168.1.103 -useproxy 代理地址

在扫描过程中可以输入以下交互式命令:

空格 显示当前扫描状态
v 显示当前正在扫描什么文件 再次按v则不显示
d 显示debug信息
e 显示错误信息
p 显示扫描进度
c 显示cookie
a 身份认证
q 退出
P 暂停
n 下一个主机

如何携带cookie对站点进行扫描

通过修改nikto.conf的配置文件,可以自己配置客户端的user-agent、cookie等信息

vi /etc/nikto.conf

nikto -host xxxx 然后 按d 在debug模式先验证我们的cookie是否设置生效

开源漏洞扫描工具大盘点:保障Web应用安全的利器
TechEnthusiast的博客
10-23 316
在当今数字化时代,Web应用安全已成为企业和开发者不可忽视的重要议题。随着网络威胁的日益复杂,及时发现和修复漏洞变得至关重要。幸运的是,开源社区为我们提供了众多强大的漏洞扫描和管理工具,特别是在Web漏洞识别方面。本文将详细介绍十款优秀的开源工具,助您构建更安全的Web应用环境。
椰树web漏洞扫描渗透测试工具
12-28
:web漏洞扫描 批注和子域名查询 C段查询 后台扫描 CMS安全检测 批量注入 浏览器功能 使用最为常见的是web扫描器-旁注C段和后台扫描功能,这款工具功能堪比御剑扫描
第十三章(二)—WEB渗透扫描工具NIKTO
weixin_43876557的博客
07-24 732
1.实验环境 metasploitable DVWA 下载安装 下载地址:https://sourceforge.net/projects/metasploitable/ 用vm打开.vmsd文件,如果遇见需要配置文件什么的,就用vm打开vmx文件。 开启虚拟机,账号密码都是:msfadmin 网络配置 保证kail和metasploitable两个虚机处在同一个网段。 kail: metasploitable: 测试一下是否能互相ping通。 默认情况下,metasploitable上webap
【安全工具Web漏洞扫描十大工具
最新发布
小王的技术库
04-04 392
漏洞扫描技术是建立在端口扫描技术的基础之上的,从对黑客的攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个特定的端口的,所以漏洞扫描技术以与端口扫描技术同样的思路来开展扫描的。漏洞扫描技术的原理是主要通过以下两种方法来检查目标主机是否存在漏洞,在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在,通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,若模拟攻击成功,则表明目标主机系统存在安全漏洞,
web渗透常用大型扫描
qq_54037445的博客
01-03 570
web渗透常用大型扫描
web扫描工具---nikto
weixin_59114667的博客
02-25 989
Nikto是基于perl语言开发的web页面扫描器,可以对web服务器进行多项安全测试,它可以扫描指定主机的web类型、主机名、指定目录、特定CGI漏洞、返回主机允许的HTTP模式等
web渗透工具有哪些?优劣点及新手入门教程(26个工具讲解)
白帽黑客佳哥的博客
12-08 1312
市场上渗透测试工具种类繁多,用户往往面临如何选择的困境。本期我对市场上主要的渗透测试工具进行了详细的梳理和分析,对各工具的优缺点进行了归纳总结。不论您是网络安全领域的专业人士,还是对网络安全领域有兴趣的新手,以下内容都将有一定的指导作用。你准备好学习了吗?go go go。
Nikto: Web安全扫描工具使用指南与功能解析
Nikto安全扫描工具是一款专门用于检测Web服务器安全性的开源工具,它可以执行多种安全检查,比如检查CGI漏洞、XSS漏洞、SQL注入等常见的Web应用安全问题。它的扫描结果非常详尽,可以为安全工程师提供深入的洞见,...
【kali】31 WEB渗透——HTTP协议、扫描工具Nikto
(∪.∪ )...zzz的博客
11-30 4657
这里写自定义目录标题一、HTTP协议二、实验环境三、扫描工具HTTrack 爬取整站Nikto1.安装并更新2. 列出插件3. 基本扫描4. Nikto-interactive(交互方式)5.配置文件 设置使用 cookie 自动登录扫描6. -evasionvega代理扫描 一、HTTP协议 明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 https只能提高传输层安全 无状态 每一次客户端和服务器端的通信都是独立的过程 WEB应用需要跟踪客户端会话(多步通信) 不使用c
Nikto:全方位Web安全扫描工具介绍与应用
- Nikto属于这类工具的范畴,它能够执行一系列针对Web服务器的安全扫描任务,比如识别服务器软件类型、版本、存在的CGI漏洞等。 2. **Nikto扫描工具的特性** - **Web类型和主机名扫描**:Nikto能够识别Web服务器...
Kali linux 学习笔记(三十八)Web渗透——扫描工具NIKTO 2020.3.17
闵行小鱼塘
03-16 709
本节学习扫描工具NIKTO
安全牛任务074 web渗透:skipfish
坚持硬核
12-02 307
目录 0x00 基本使用 0x01 身份认证 0x00 基本使用 skipfish是Google用C语言编写的实验性的主动web安全评估工具 skipfish -o test http://1.1.1.1 -o 指定将扫描结果放在什么目录下 扫描过程中按Ctrl C 退出,按空格键 查看当前正在扫描的内容 skipfish -o 文件夹名 @url.txt 扫描url.txt中的所有url -I 只检查包含'string' 的url skipfish -o dvwa -I /d.
【2024】适用于 Kali Linux 的 15 个最佳 Web 渗透测试工具
2301_77472496的博客
10-31 1276
随着网络攻击的指数级增长以及攻击者渗透系统的复杂性,您的 Web 应用程序的安全性变得至关重要。 作为负责 Web 应用程序安全的安全专家,您需要利用行业安全工具掌握游戏优势,以确保 Web 应用程序的安全性和完整性。
七款最佳的渗透测试工具(非常详细)零基础入门到精通,收藏这一篇就够了
2402_84205067的博客
07-15 3173
渗透测试工具是模拟对计算机系统、网络或 Web 应用程序的网络攻击的软件应用程序,它们的作用是在实际攻击者之前发现安全漏洞。它们可以作为系统的压力测试,揭示哪些区域可能会受到真正的威胁。本文我将介绍七款最佳的渗透测试工具。01Kali LinuxKali Linux 是一款基于 Debian 的 Linux 发行版,专为数字取证和渗透测试而设计。它预装了各种用于安全审计、网络分析和漏洞评估的工具
Kali扫描 nikto的使用
胡乱写点什么
07-19 3461
Kali应用——WEB渗透(二) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— Nikto—— 作用:搜索存在安全漏洞(或隐患)的文件或者服务器漏洞。 参数: -h/-host 域名或者IP或者文本文件:扫描该地址;(文本文件适用于扫描多个地址时使用,格式有三种,分别为:192.168.2.130【直接写IP地址,默认为80端口】,https...
漏洞扫描怎么做/漏洞扫描工具-详细信息安全知识点
程序员三九的博客
06-13 668
十大Web漏洞扫描工具Acunetix Web Vulnerability Scanner[( 简称AwVS )AwVS是一款知名的Web网络漏
10大Web漏洞扫描工具
weixin_30407099的博客
06-20 9412
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。...
十九款web漏洞扫描工具
denghe4720的博客
05-27 1825
1. Arachni Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。 Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别。且同时支持主动检查和被动检查。 Windows、Solaris、Linux、BSD、...
10种用于渗透测试的漏洞扫描工具有哪些_渗透测试和漏洞扫描区别
Y525698136的博客
05-05 4409
[漏洞扫描]程序可连续和自动扫描,可以扫描网络中是否存在潜在漏洞。帮助It部门识别互联网或任何设备上的漏洞,并手动或自动修复它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值