kali——nikto的使用

于 2024-09-01 23:03:27 发布
阅读量799 收藏 7
点赞数 12
分类专栏: kali 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunengyongzho666/article/details/141730196
版权

目录

前言

使用方法

查看帮助(--help)

常规扫描(-h)

指定端口扫描(-h -p)

目录猜解(-h -C)

扫描敏感目录(-h)

保存扫描信息

前言

linux自带的nikto工具能够对Web服务器进行综合性的安全测试,识别出潜在的安全问题和WEB漏洞。Kali Linux默认安装的nikto工具可以通过各种参数进行web服务器扫描,包括指定端口、目录、插件管理等,并且支持HTTPS、代理扫描以及与Nmap集成,为渗透测试人员提供了广泛的使用场景。

使用方法

查看帮助(--help)
nikto --help

执行结果会列出所有选项及使用方法。

常规扫描(-h)
nikto -h 目标地址

nikto -h 192.168.100.130

扫描结果大致意思如下:

  1. 缺少X-Frame-Options头:为了防止点击劫持攻击,需要在HTTP响应头中添加X-Frame-Options头。可以将其设置为DENY、SAMEORIGIN或ALLOW-FROM来限制iframe的使用。

  2. 缺少X-Content-Type-Options头:为了确保浏览器正确渲染内容,可以在HTTP响应头中添加X-Content-Type-Options头,并将其设置为nosniff。

  3. PHP版本过时:PHP 5.4.16已经过时,建议升级到至少PHP 8.1.5。

  4. Apache版本过时:Apache 2.4.6已经过时,建议升级到至少Apache 2.4.54。

  5. 允许HTTP TRACE方法:HTTP TRACE方法可能导致跨站追踪(XST)攻击,建议禁用此方法。

  6. phpinfo()暴露系统信息:通过访问/info.php文件,可以获取到大量系统信息。建议删除或限制对该文件的访问。

  7. 目录索引:/icons/目录下的文件可以被直接访问,建议禁用目录索引。

  8. 远程文件包含(RFI):/info.php?file=http://blog.cirt.net/rfiinc.txt存在远程文件包含漏洞,建议修复该问题。

如果出现OSVDB-编号,说明网站存在该漏洞,可以到漏洞平台查询具体是什么漏洞。

指定端口扫描(-h -p)
nikto -h 目标地址 -p 端口

nikto -h 192.168.100.130 -p 80

在不指定端口的情况下,nikto默认扫描80端口。

目录猜解(-h -C)
nikto -h 目标地址 -C all          //扫描所有CGI目录

nikto -h 192.168.100.130 -C all

扫描敏感目录(-h)
nikto -h 网站地址

nikto -h www.sqlibs.com

保存扫描信息
nikto -h 目标地址 -output 指定文件路径

nikto -h 192.168.100.130 -output /root/nikto.txt

扫描结果将会保存到/root/nikto.txt文件里。

kaixiang300
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全——Nikto使用
weixin_54055099的博客
08-20 3957
KaliNikto使用
Kali Linux渗透测试之扫描工具——Nikto
橘子女侠
06-14 8643
扫描工具—Nikto 1. Nikto Nikto 是由Perl语言开发的开源代码、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件。 它支持两种扫描模式,代理截断模式和主动扫描模式。 2. 手动扫描与自动扫描 手动扫描:用户手动去点击页面,发现页面存在的问题,但可能会存在遗漏。 自动扫描:基于字典的扫描,可以提高扫描的速度,但存在误报和触发警告,容易...
Kali扫描 nikto使用
胡乱写点什么
07-19 3390
Kali应用——WEB渗透(二) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— Nikto—— 作用:搜索存在安全漏洞(或隐患)的文件或者服务器漏洞。 参数: -h/-host 域名或者IP或者文本文件:扫描该地址;(文本文件适用于扫描多个地址时使用,格式有三种,分别为:192.168.2.130【直接写IP地址,默认为80端口】,https...
Kali之——菜单中各工具功能
冰河的专栏
11-15 3457
一、说明 各工具kali官方简介(竖排):https://tools.kali.org/tools-listing 安装kali虚拟机可参考:https://www.cnblogs.com/lsdb/p/6500757.html pentestbox:虚拟机还是比较耗内存的,内存不够可以试试pentestbox,从功能上可以理解为运行在windows上的kali发行版,kali主流工具它都...
kali】31 WEB渗透——HTTP协议、扫描工具Nikto
(∪.∪ )...zzz的博客
11-30 4408
这里写自定义目录标题一、HTTP协议二、实验环境三、扫描工具HTTrack 爬取整站Nikto1.安装并更新2. 列出插件3. 基本扫描4. Nikto-interactive(交互方式)5.配置文件 设置使用 cookie 自动登录扫描6. -evasionvega代理扫描 一、HTTP协议 明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 https只能提高传输层安全 无状态 每一次客户端和服务器端的通信都是独立的过程 WEB应用需要跟踪客户端会话(多步通信) 不使用c
Kali linux 学习笔记(三十八)Web渗透——扫描工具之NIKTO 2020.3.17
闵行小鱼塘
03-16 662
本节学习扫描工具NIKTO
Kali Linux渗透测试——WEB渗透(一)
Captain_RB的博客
04-18 7980
Kali Linux渗透测试——WEB渗透 笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程 文章目录Kali Linux渗透测试——WEB渗透一、WEB攻击面 一、WEB攻击面 WEB渗透具有类型多、覆盖面广的特点,其攻击面主要涵盖: Network OS Web Server App Server Web Application Database Brower 图1...
72、任务72——扫描工具Nikto(附带Httrack)
qwsn
02-18 2919
0x01、实验环境 1、靶机:Metasploitable(192.168.97.140) 浏览器访问:http://192.168.97.140/dvwa Username=admin Password=password 2、攻击机:kali(192.168.97.129) 0x02、Httrack工具 1、Httrack:是一种专门针对Web服务器的一种工具 //其可以把站点下所有文件拷...
小白学习安全测试(三)——扫描工具-Nikto使用
weixin_30258901的博客
09-16 150
扫描工具-Nikto #基于WEB的扫描工具,基本都支持两种扫描模式。代理截断模式,主动扫描模式 手动扫描:作为用户操作发现页面存在的问题,但可能会存在遗漏 自动扫描:基于字典,提高速度,但存在误报和触发警告 #参考书:Web_Penetration_Testing_with_Kali_Linux Nikto【纯主动型】 http://blog.csdn.net/fly_heart...
网络攻防之——kali中的其他扫描工具
热门推荐
The__Apollo的博客
03-26 2万+
Golismerogolismero含有多种插件,输入如下命令可以查看插件列表 使用scan命令扫描靶机,如下 Nikto.plNikto是一款开源的网页服务扫描器,它可以对网页服务进行多种扫描。用如下命令可以扫描靶机 扫描出的漏洞信息如下 Lynis系统信息收集整理工具这个工具是对Linux详细配置等信息进行枚举收集,生成易懂的报告文件,使用如下 为了避免交互,可以在末尾添加
2023福建省“信息安全管理与评估“——Web综合渗透测试(高职组)
Aluxian_的博客
04-09 675
在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请利用你所掌握的渗透测试技术,通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。 本模块所使用到的渗透测试技术包含但不限于如下技术领域: • 信息收集 • 逆向文件分析 • 二进制漏洞利用 • 应用服务漏洞利用 • 操作系统漏洞利用 • 杂项与密码学分析 • 系统文件分析
Linux中的常见命令——用户管理命令
qq_45569925的博客
08-27 1815
默认创建用户的时候会在home文件夹下创建一个与用户同名的文件夹【该用户的主目录】,也可以在创建用户的时候设置该用户主目录的名称。【输入的密码是不在控制台显示的,输入完之后直接按回车键即可】使用wgh用户查看root下的文件。【此时的用户是没有密码的】给创建的用户设置密码。查看某个用户是否存在。
Linux】进程|进程的查看与管理|创建进程
2202_75331338的博客
08-27 1587
❍ 课本概念:程序的一个执行实例,正在执行的程序等❍ 内核观点:担当分配系统资源(CPU时间,内存的实体)简单来说:进程 == PCB(进程控制块) + 进程对应的代码和数据;一个进程对应一个PCB操作系统对进程的管理,最终变成了对链表的增删查改。注意:可执行程序加载到内存不是进程,只是进程对应的代码和数据。
linux 系统如何进行nfs(第五节)
最新发布
weixin_44767571的博客
08-30 257
首先是 在虚拟机中的操作。然后是在开发板上的操作。
linux 系统性能调优技巧
m0_50641264的博客
08-27 1511
【代码】linux 系统性能调优技巧。
Linux——进程管理
m0_67677309的博客
08-29 1779
1、通过fork创建的子进程会拷贝父进程(数据段、bss段、堆、栈、I/O缓冲区),与父进程共享代码段、子进程会继承父进程的信号处理方式。ITIMER_VIRTUAL 虚拟计时器 用户态的计时SIGVTALRM(26)**使用的时候要对应。ITIMER_REAL 真实计时器 程序总的计时时间SIGALRM(14)void (*sa_restorer)(void);// 第一次产生时钟信号的时间 **3秒钟一次,每个两秒。
Linux报错:make[2]: *** No rule to make target ‘/usr/local/lib/libopus.a‘
VIFIN的博客
08-27 986
解决报错:make[2]: *** No rule to make target '/usr/local/lib/libopus.a'
Linux下UDP编程
热土程序园,利他愉己~
08-28 1590
Linux下UDP编程 socket(套接字)本质上是一个抽象的概念,它是一组用于网络通信的 API,提供了一种统一的接口,使得应用程序可以通过网络进行通信。在不同的操作系统中,socket 的实现方式可能不同,但它们都遵循相同的规范和协议,可以实现跨平台的网络通信。
kalinikto
08-18
Kali Linux中,Nikto 是一个常用的开源漏洞扫描工具,用于发现Web服务器上的常见漏洞。它可以检测目标服务器上的多种安全问题,包括配置错误、敏感信息泄露、弱密码、过时的软件版本等。 要在Kali Linux使用Nikto,你可以按照以下步骤进行操作: 1. 打开终端。 2. 输入命令 `nikto` 启动Nikto工具。 3. 指定目标URL,例如: `nikto -h <目标URL>`。 你可以使用IP地址或域名作为目标URL。 4. 等待扫描完成。Nikto将开始扫描目标服务器并报告发现的漏洞和问题。 请注意,使用Nikto进行漏洞扫描应该是合法和道德的,你需要获得授权来测试目标系统的安全性。未经授权的扫描可能违反法律规定,因此请确保你具有适当的授权和权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值