扫描工具—Nikto
1. Nikto
Nikto 是由Perl语言开发的开源代码、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件。
它支持两种扫描模式,代理截断模式和主动扫描模式。
2. 手动扫描与自动扫描
手动扫描:用户手动去点击页面,发现页面存在的问题,但可能会存在遗漏。
自动扫描:基于字典的扫描,可以提高扫描的速度,但存在误报和触发警告,容易被管理员发现。
3. Nikto主要扫描的内容
1、软件版本
2、搜索存在安全隐患的文件【如:某些web维护人员备份完后,遗留的压缩包,若被下载下来,则获得网站源码】
3、服务器配置漏洞【组件可能存在默认配置】
4、WEB Application层面的安全隐患【XSS,SQL注入等】
5、避免404误判
很多服务器不遵守RFC标准,对于不存在的对象返回200响应码
依据响应文件内容判断,不同扩展名【jsp、cji】的文件404响应内容不同
去除时间信息后的内容取MD5值
4. Nikto命令详解
