漏洞扫描工具nikto使用心得

最新推荐文章于 2024-07-26 12:32:31 发布
最新推荐文章于 2024-07-26 12:32:31 发布
阅读量1.6w 收藏 11
点赞数
分类专栏: Web类

官方网站:http://www.cirt.net/

说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到了无人不知,无人不晓的地步,是web安全评估人员必备的工具之一,曾经被评为最好的“75款安全工具”之一。

 

帮助:

./nikto.pl -up-date   #升级

-h  指定扫描的目标  -p 指定扫描的端口(可多个)   -C 选项指定CGI目录  -C all 进行暴力猜解cgi 目录,并进行扫描。

./nikto.pl -h www.google.com -p 80,81,8080 -C

./nikto.pl -h www.google.com -C all

-c /admin     #指定目录扫描  cgi扫描只能放到最后


./nikto.pl  -h www.google.com -o result.txt       #-o 报存扫描结果


./nikto.pl -h www.google.com -T 49    

# -T 指定扫描类型 包含了一些小的选项

-T 隐藏选项如下:

0.文件上传
1.日志文件
2.默认的文件
3.信息泄漏
4.注射(XSS/Script/HTML)
5.远程文件检索(Web 目录中)
6.拒绝服务
7.远程文件检索(服务器)
8.代码执行-远程shell
9.SQL注入
a.认证绕过
b.软件关联
g.属性(不要依懒banner的信息)
x.反向连接选项


./nikto.pl –h www.google.com -e 13       

 # -e 一个大的选项 ,该选项能够对扫描包进行一些变形,绕过IDC检测。

-e 详细选项:

1 进行随机url编码

2 使用相对路径参照 (/ ./)

3 尽可能早的结束url访问

4 使用长随机字符串

5 隐藏参数

6 使用TAB作为命令的分隔符号

7 更改URL大小写

8 使用windows 路径分隔符 \

A 使用回车 (0x0d) 作为请求间隔

B 使用二进制(0x0b) 最为请求间隔


./nikto.pl –h www.google.com -D 23 

# -D 控制nikto的输出方式 也具有一些小选项:

1 直接显示信息

2 显示cookie信息

3 显示所有 200 /OK 的响应

4 显示需要认证的URL

D Debug输出

V 详细输出

 

./nikto.pl –h www.google.com -F html -o test.html  

两个参数一般同时出现,-F指定保存结果文件的类型 -o为结果文件名称

-Single 可以指定HTTP协议内容进行访问

./nikto.pl -Single  进入后会提示输入很多内容,不输入的话工具有默认选项。括号中的就是默认值。


mydriverc2
关注
专栏目录
Nikto:从零开始到专业版的完整教程
简介
01-10 7114
nikto教程
nikto2使用简介
taozpwater的专栏
02-03 1596
1、简介         Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
揭秘最为知名的黑客工具之一:Nikto(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
07-18 472
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…通过使用 SET,安全研究人员和系统管理员可以更加全面地了解系统的社会工程学攻击风险,及时采取措施,提高系统的整体安全性。
Nikto安全扫描工具
08-14
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins templates root@91ri.org:/pentest/web/nikto# ./nikto.pl -h Option host requires an argument -config+ Use this config file -Cgidirs+ scan these CGI dirs: ‘none’, ‘all’, or values like “/cgi/ /cgi-a/” -dbcheck check database and other key files for syntax errors -Display+ Turn on/off display outputs -evasion+ ids evasion technique -Format+ save file (-o) format -host+ target host -Help Extended help information -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -mutate+ Guess additional file names -mutate-options+ Provide extra information for mutations -output+ Write output to this file -nocache Disables the URI cache -nossl Disables using SSL -no404 Disables 404 checks -port+ Port to use (default 80) -Plugins+ List of plugins to run (default: ALL) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Single Single request mode -timeout+ Timeout (default 2 seconds) -Tuning+ Scan tuning -update Update databases and plugins from CIRT.net -vhost+ Virtual host (for Host header) -Version Print plugin and database versions + requires a value Note: This is the short help output. Use -H for full help. 升级插件 root@91ri.org:/pentest/web/nikto# ./nikto.pl -update -h 指定扫描的目标 –p 端口 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -p 80 -C 指定CGI目录 –all表示猜解CGI目录 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -C all -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -T 9 -D指定输出显示 2显示cookies root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -D 2 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2 检查错误配置或默认文件 3检查信息泄露问题 4 检查XSS/Script/HTML问题 5 从根目录检查是否存在可访问的文件 6 检查拒绝服务问题 7 从任意文件检索是否存在可访问文件 8 检查是否存在系统命令执行漏洞 9 检查SQL注入漏洞 a 检查认证绕过问题 b 识别安装的软件版本 c 检查源代码泄露问题 x 反向链接选项
网络安全必备!Top 10免费黑客工具_黑客技术 开源工具,不可思议_黑客代理工具有哪些
最新发布
m0_71744044的博客
07-26 762
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
Nikto 扫描 Web 服务器漏洞
久绊A的博客
07-13 613
Nikto 是一个开源的 Web 服务器扫描工具,旨在帮助发现和修复 Web 服务器上的安全问题。它是渗透测试和安全审计中的常用工具之一。已知漏洞:检测已知的 Web 服务器和应用程序的漏洞,如常见的安全漏洞和配置错误。配置问题:识别可能导致安全隐患的配置错误,例如权限设置不当、默认配置未修改等。过程文件:扫描是否存在敏感的过程文件或目录,如备份文件、未授权访问的文件等。服务器信息:获取和报告 Web 服务器的详细信息,如版本号、安装的模块等。
Nikto一键扫描Web服务器(KALI工具系列三十)
LNN0212的博客
06-23 1333
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Nikto 是一个开源的 Web 服务器扫描工具,用于检测 Web 服务器中的常见漏洞和配置错误。
Nikto 2.1.5
01-08
Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6700 potentially dangerous files/CGIs, checks for outdated versions of over 1250 servers, and version specific problems on over 270 servers. It also checks for server configuration items such as the presence of multiple index files, HTTP server options, and will attempt to identify installed web servers and software. Scan items and plugins are frequently updated and can be automatically updated.
Nikto2使用说明
黑面小窝
11-10 6525
Nikto2使用说明 开发语言:perl 官方网站:http://www.cirt.net/ 说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到了无人不知
Nikto2 使用说明
收集盒 Book box
11-14 832
名称:Nikto2 开发语言:perl 官方网站:http://www.cirt.net/ 说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到
nikto使用教程详解
lvwuwei的博客
05-15 1834
1:普通扫描 nikto -h 目标 实例: nikto -h 192.168.3.111 2:扫描指定端口 nikto -h 192.168.0.1 -p 443 对443端口的扫描 nikto -h 192.168.3.111 -p 443 3:目录猜解 -C 指定CGI目录 –all表示猜解CGI目录 nikto -h 192.168.3.111 -C all 4:漏洞扫描 -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2
Kali下ssh爆破以及nikto工具漏洞扫描-漏洞银行大咖周3 -屌丝绅士
01-26
来源:漏洞银行大咖面对面一周大咖秀3 作者:屌丝绅士
信息安全技术:使用漏洞扫描工具.pptx
11-01
【信息安全技术:使用漏洞扫描工具】 在信息安全领域,保护网络和系统免受攻击至关重要。漏洞扫描工具是确保系统安全的重要手段之一,它们可以帮助检测并识别潜在的安全弱点,从而及时修复,防止恶意攻击者利用这些...
thinkphp漏洞检测工具
06-06
除了Aazhen-RexHa,还有其他一些常用的ThinkPHP漏洞检测工具,如PHPIDS(PHP入侵检测系统)、Nikto(Web应用程序安全扫描器)等。这些工具各有特点,可以互补使用,以达到更全面的检测效果。 在使用ThinkPHP进行...
web扫描工具---nikto
weixin_59114667的博客
02-25 826
Nikto是基于perl语言开发的web页面扫描器,可以对web服务器进行多项安全测试,它可以扫描指定主机的web类型、主机名、指定目录、特定CGI漏洞、返回主机允许的HTTP模式等
常用Web漏洞扫描工具汇总
桀骜不逊
03-12 5917
转载自: http://fairysoftware.com/web_lou_dong_sao_miao. html 1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。 2、OWASP Zed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于Kali Linux系统。 3、Nikto,一款开源软件,不仅可用于扫描发现网.
nikto使用教程
huike008的博客
08-17 352
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息 perl nkito.pl –h 192.168.0.1 多端口扫描 Perl nikto.pl –h 192.168.0.1 –p 80,88,443 加代理扫描 Perl nikto.pl –h 192.168.0.1 –p 80 –u CGI扫描 -C参数只能放在后面,应该可以指定相对目录。 Perl...
Nikto2
MyDriverC
10-25 808
Nikto2 Install: Run from a git repo -  https://github.com/sullo/nikto Download: Latest GitHub Release (zip) Stable Release: Version 2.1.5 bz2 or gz // Changelog  Nikto is
Nikto使用方法
收集盒 Book box
12-06 2049
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins tem
kali漏洞扫描工具如何使用
05-29
使用Kali Linux自带的漏洞扫描工具需要一定的技术水平和实践经验,以下是一些漏洞扫描工具使用方法简介: 1. 使用Nmap进行端口扫描:在终端中输入命令“nmap -sV [目标IP]”,等待扫描结果即可。其中“-sV”表示进行服务版本探测,可以帮助用户了解目标主机开放的服务和版本号。 2. 使用Metasploit进行漏洞扫描:Metasploit提供了多种漏洞扫描模块,用户可以根据需要选择相应的模块进行扫描。使用方法可以参考Metasploit官方文档。 3. 使用OpenVAS进行漏洞扫描:在终端中输入命令“openvas-setup”,安装并配置OpenVAS。安装完成后,可以通过Web界面进行漏洞扫描和安全评估。 4. 使用Nikto进行Web应用程序漏洞扫描:在终端中输入命令“nikto -h [目标IP]”,等待扫描结果即可。Nikto会自动检测Web应用程序中的安全漏洞和配置错误。 5. 使用Burp Suite进行Web应用程序渗透测试:下载并安装Burp Suite,配置浏览器代理,通过Burp Suite进行Web应用程序的访问和攻击测试。 请注意,在使用这些漏洞扫描工具时,需要先获得授权,并遵守法律法规和道德规范。同时,需要对扫描结果进行分析和处理,及时修复发现的漏洞和安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值