nikto2使用简介

最新推荐文章于 2024-07-18 09:00:26 发布
最新推荐文章于 2024-07-18 09:00:26 发布
阅读量1.5k 收藏
点赞数
分类专栏: 安全学习 工具学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taozpwater/article/details/8566753
版权

1、简介

        Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
        Nikto的作者是Chris Sullo,他是开放安全基金会(Open Security Foundation) 的财务总监。


2、功能

        Nikto用来检查网页服务器和其他多个范畴内的项目:
        * 错误的配置
        * 默认文件和脚本
        * 不安全的文件和脚本
        * 过时软件
        Nikto使用Rain Forest Puppy的LibWhisker实现HTTP功能,并且可以检查HTTP和HTTPS。同时支持基本的端口扫描以判定网页服务器是否运行在其他开放端口。 Nikto可以使用'update'选项从主版本站点自动更新,以应对新的弱点。 Nikto可以在启动时加载用户自定义的检测规则,当然前提是自定义检测规则已经放在了user_scan_database.db文件内(这个文件在插件目录下);即使使用-update选项升级,自定义的检测规则也不会被覆盖。Nikto也具有反入侵探测(IDS)功能。


3、选项说明

        -Cgidirs:扫描CGI目录。
        -config:使用指定的config文件来替代安装在本地的config.txt文件
        -dbcheck:选择语法错误的扫描数据库。
        -evasion:使用LibWhisker中对IDS的躲避技术,可使用以下几种类型:
                1 随机URL编码(非UTF-8方式).........
                2 自选择路径(/./)
                3 虚假的请求结束
                4 长的URL请求
                5 参数隐藏
                6 使用TAB作为命令的分隔符
                7 大小写敏感
                8 使用Windows路径分隔符\替换/
                9 会话重组
        -findonly:仅用来发现HTTP和HTTPS端口,而不执行检测规则
        -Format:指定检测报告输出文件的格式,默认是txt文件格式(csv/txt/htm/)
        -host:目标主机,主机名、IP地址、主机列表文件。
        -id:ID和密码对于授权的HTTP认证。格式:id:password/
        -mutate:变化猜测技术
                1)使用所有的root目录测试所有文件//
                2)猜测密码文件名字
                3)列举Apache的用户名字(/~user)
                4)列举cgiwrap的用户名字(/cgi-bin/cgiwrap/~user)................
        -nolookup:不执行主机名查找
        -output:报告输出指定地点
        -port:扫描端口指定,默认为80端口。
        -Pause:每次操作之间的延迟时间
        - Display:控制Nikto输出的显示
                1 直接显示信息
                2 显示的cookies信息
                3 显示所有200/OK的反应
                4 显示认证请求的URLs
                5 Debug输出
        -ssl:强制在端口上使用SSL模式
        -Single:执行单个对目标服务的请求操作。
        -timeout:每个请求的超时时间,默认为10秒
        -Tuning:Tuning 选项控制Nikto使用不同的方式来扫描目标。
                0.文件上传
                1.日志文件
                2.默认的文件
                3.信息泄漏
                4.注射(XSS/Script/HTML)
                5.远程文件检索(Web 目录中)
                6.拒绝服务
                7.远程文件检索(服务器)
                8.代码执行-远程shell
                9.SQL注入
                a.认证绕过
                b.软件关联
                g.属性(不要依懒banner的信息)
                x.反向连接选项
        -useproxy:使用指定代理扫描
        -update:更新插件和数据库


节摘自百度百科和维基百科

taozpwater
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nikto工具的用法描述(漏洞分析)
5年编程经验的老猿。
09-23 2669
Nikto是一个开放源代码(GPL)Web服务器扫描程序,它针对多个项目对Web服务器执行全面测试,包括6700多个潜在危险的文件/程序,检查1250多个服务器的过时版本以及270多个服务器上的特定于版本的问题。它还会检查服务器配置项,例如是否存在多个索引文件,HTTP服务器选项,并将尝试识别已安装的Web服务器和软件。扫描项目和插件会经常更新,并且可以自动更新。...
Kali [Nikto]Web扫描器
weixin_45253622的博客
05-06 1408
Nikto 简介 开源的、强大的Web扫描器,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的http模式等 使用 在kali中,使用nikto -h或者直接输入nikto查看帮助文档 Nikto常用命令如下: -host 目标主机/URL -port 指定端口,默认为80 -update 升级更新 ...
Nikto 2.1.5
01-08
Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6700 potentially dangerous files/CGIs, checks for outdated versions of over 1250 servers, and version specific problems on over 270 servers. It also checks for server configuration items such as the presence of multiple index files, HTTP server options, and will attempt to identify installed web servers and software. Scan items and plugins are frequently updated and can be automatically updated.
揭秘最为知名的黑客工具之一:Nikto(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
07-18 458
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…通过使用 SET,安全研究人员和系统管理员可以更加全面地了解系统的社会工程学攻击风险,及时采取措施,提高系统的整体安全性。
Nikto2 使用说明
收集盒 Book box
11-14 828
名称:Nikto2 开发语言:perl 官方网站:http://www.cirt.net/ 说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到
Nikto2使用说明
黑面小窝
11-10 6520
Nikto2使用说明 开发语言:perl 官方网站:http://www.cirt.net/ 说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到了无人不知
Nikto2
MyDriverC
10-25 807
Nikto2 Install: Run from a git repo -  https://github.com/sullo/nikto Download: Latest GitHub Release (zip) Stable Release: Version 2.1.5 bz2 or gz // Changelog  Nikto is
网络扫描工具:nikto简单介绍
MyBack
06-01 941
root@firecat:~# nikto -H Options: -ask+ Whether to ask about submitting updates yes Ask about each (default) no
nikto
weixin_44940180的博客
08-20 275
nikto是一款著名的web漏洞扫描神器,支持xss sql注入 web目录爬行 敏感目录 信息收集等常用的web漏洞的扫描和发现。 参数: 示例 扫描目标的IP或URL,端口默认为 80 nikto -host <IP&URL> 指定目标的端口 nikto -host <IP&URL> -port 80,22,25,445 目标网址采用https连接时,带上-ssl nikto -host <IP&URL> -port -ssl
Nikto安装及使用
weixin_36965906的博客
09-08 3880
系统要求如下(我自己使用的是linux,其它两个没有研究): 一、安装软件 第一步准备两个软件,如下: 1、nikto-master.zip(官网下载地址:https://cirt.net/nikto2) 2、libwhisker2-2.5.tar.gz(官网下载地址:http://sourceforge.net/projects/whisker/files/libwhisker/2.5/libwhisker2-2.5.tar.gz/download?_test=goal) 安装步骤如下.
72、任务72——扫描工具Nikto(附带Httrack)
qwsn
02-18 2927
0x01、实验环境 1、靶机:Metasploitable(192.168.97.140) 浏览器访问:http://192.168.97.140/dvwa Username=admin Password=password 2、攻击机:kali(192.168.97.129) 0x02、Httrack工具 1、Httrack:是一种专门针对Web服务器的一种工具 //其可以把站点下所有文件拷...
nikto -扫描web服务器以查找已知漏洞
weixin_44686157的博客
01-11 700
简介 nikto [options...] 描述 检查web服务器以查找潜在问题和安全漏洞,包括: •服务器和软件配置错误 •默认文件和程序 •不安全的文件和程序 •过时的服务器和程序 Nikto基于LibWhisker(通过RFP)构建,可以在任何平台上运行Perl环境。它支持SSL、代理、主机身份验证、IDS规避和更多。它可以从命令行自动更新,并支持可选地将更新的版本数据提交回维护者。...
Web服务器漏洞扫描(开源) nikto 2.14
03-29
这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。
Kali linux 学习笔记(三十八)Web渗透——扫描工具之NIKTO 2020.3.17
闵行小鱼塘
03-16 666
本节学习扫描工具NIKTO
nikto---基本使用
weixin_30709809的博客
07-09 950
目录 一;基本使用 二;调节扫描过程 三;命令行选项 四;配置文件 注意:使用版本:Nikto v2.1.6 功能:Web服务器评估工具,目的在于查找任何类型的Web服务器的各种默认和不安全的文件,配置和程序。 范围:   1;服务器和软件配置错误。   2;默认文件和程序。   3;不安全的文件和程序。   4;过时的服务器和程序。 一;基本使用: 1;更新nikto...
漏洞扫描工具—nikto
热门推荐
dubinglin的博客
04-05 1万+
nikto nikto是一款扫描指定主机的web类型,主机名。特定目录,cookie,特定cgi漏洞,xss漏洞,sql漏洞,返回主机允许的http方法等安全问题的工具。   1.下载nikto http://www.cirt.net/nikto2 2.下载pl解读环境activeperl,如果是文件包格式要自己设置perl.exe环境变量 http://www.activestate
4 | Nikto使用
u013916029的博客
11-05 1111
nikto
kaliLinux使用自动扫描器
2303_76983620的博客
11-28 1537
介绍了几个常用的自动扫描器,Kali Linux 提供的工具还有很多其他选项可供选择。选择合适的自动扫描器取决于你的具体需求和目标。为了保证扫描结果的准确性和可靠性,建议在扫描之前备份重要数据。
2023版漏洞评估工具Top10
Galaxy_0的博客
01-18 1145
对于发现资产中已知漏洞、配置不当等问题的工具,大家习惯性称之为“漏洞扫描”工具,但随着技术演进,很多工具越来越智能,逐渐具备分析总结能力,因此将它们称为“漏洞评估”工具似乎更准确。大多数漏洞评估工具都能覆盖常规漏洞,例如OWASP Top10,但一般都各有所长。常见的区分维度包括部署灵活性、扫描速度、扫描准确度以及与流程管理、代码开发等平台的整合性。如果不考虑license的限制和成本,很多团队都会选择同时部署多款工具。
Nikto下载和使用 举例说明
04-01
以下是Nikto的下载和使用方法。 下载Nikto Nikto可以从其官方网站下载,也可以使用包管理器进行安装。在Ubuntu上,可以使用以下命令安装: ``` sudo apt-get install nikto ``` 使用Nikto 使用Nikto非常简单,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值