如何使用nikto漏洞扫描工具检测网站安全

关键词：

试试安全软件扫描
打开腾讯电脑管家——工具箱——漏洞修复
可以自动修复漏洞：第一时间发现并修复系统存在的高危漏洞，在不打扰您的情况下自动为系统打上漏洞补丁，轻轻松松将病毒木马拒之门外。自动修复漏洞 电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。 参考技术A

Nikto是基于PERL开发的程序，所以需要PERL环境。Nikto支持Windows（使用ActiveState Perl环境）、Mac OSX、多种Linux 或Unix系统。Nikto使用SSL需要Net::SSLeay PERL模式，则必须在Unix平台上安装OpenSSL。

从官方网站上下载nikto-current.tar.gz文件，在Linux系统解压操作：

tar -xvf nikto-current.tar.gz
gzip -d nikto-current.tar

解压后的结果如下所示：
Config.txt、docs、kbase、nikto.pl、plugins、 templates

Nikto的使用说明：

Nikto扫描需要主机目标IP、主机端口。默认扫描的是80端口。扫描主机目标IP地址可以使用选项-h(host)。下面将扫描IP为192.168.0.1的TCP 80端口，如下所示：

perl nkito.pl –h 192.168.0.1

也可以自定义扫描的端口，可以使用选项-p(port)，下面将扫描IP为192.168.0.1的TCP 443端口，如下所示：

perl nikto.pl –h 192.168.0.1 –p 443

Nikto也可以同时扫描多个端口，使用选项-p(port)，可以扫描一段范围（比如：80-90），也可以扫描多个端口（比如：80,88,90）。下面扫描主机的80/88/443端口，如下所示：

Perl nikto.pl –h 192.168.0.1 –p 80,88,443

如果运行Nikto的主机是通过HTTP proxy来访问互联网的，也可以使用代理来扫描，使用选项-u(useproxy)。下面将通过HTTP proxy来扫描，如下所示：

Perl nikto.ph –h 192.168.0.1 –p 80 –u

Nikto的更新：

Nikto的升级可以通过-update的命令来更新插件和数据库，如下所示：

Perl nikto.ph –update

也可以通过从网站下载来更新插件和数据库：http://updates.cirt.net/

Nikto的选项说明：

-Cgidirs
扫描CGI目录。

-config
使用指定的config文件来替代安装在本地的config.txt文件

-dbcheck
选择语法错误的扫描数据库。

-evasion
使用LibWhisker中对IDS的躲避技术，可使用以下几种类型：
1．随机URL编码（非UTF-8方式）
2．自选择路径（/./）
3．虚假的请求结束
4．长的URL请求
5．参数隐藏
6．使用TAB作为命令的分隔符
7．大小写敏感
8．使用Windows路径分隔符\\替换/
9．会话重组

-findonly
仅用来发现HTTP和HTTPS端口，而不执行检测规则

-Format
指定检测报告输出文件的格式，默认是txt文件格式（csv/txt/htm）

-host
目标主机，主机名、IP地址、主机列表文件。

-id
ID和密码对于授权的HTTP认证。格式：id:password

-mutate
变化猜测技术
1.使用所有的root目录测试所有文件
2.猜测密码文件名字
3.列举Apache的用户名字(/~user)
4.列举cgiwrap的用户名字(/cgi-bin/cgiwrap/~user)

-nolookup
不执行主机名查找

-output
报告输出指定地点

-port
扫描端口指定，默认为80端口。

-Pause
每次操作之间的延迟时间

- Display
控制Nikto输出的显示
1.直接显示信息
2.显示的cookies信息
3.显示所有200/OK的反应
4.显示认证请求的URLs
5.Debug输出

-ssl
强制在端口上使用SSL模式

-Single
执行单个对目标服务的请求操作。

-timeout
每个请求的超时时间，默认为10秒

-Tuning
Tuning 选项控制Nikto使用不同的方式来扫描目标。
0．文件上传
1.日志文件
2.默认的文件
3.信息泄漏
4.注射（XSS/Script/HTML）
5.远程文件检索（Web 目录中）
6.拒绝服务
7.远程文件检索（服务器）
8.代码执行－远程shell
9.SQL注入
a.认证绕过
b.软件关联
g.属性（不要依懒banner的信息）
x.反向连接选项

-useproxy
使用指定代理扫描

-update
更新插件和数据库

web漏洞扫描工具（批量破壳反序列化cms）？

web漏洞扫描工具一，Nikto，一款开源软件，不仅可用于扫描发现网页文件漏洞，还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于KaliLinux系统。nikto可以扫描软件版本... 查看详情

分享网站漏洞检测与如何修复网站逻辑漏洞

分享网站漏洞检测与如何修复网站逻辑漏洞分类专栏：网站安全网站被篡改网站被黑如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题ecshop漏洞修复MetInfo漏洞... 查看详情

宝塔漏洞xss窃取宝塔面板管理员漏洞高危

...管理员漏洞高危分类专栏：网站安全网站被篡改网站被黑如何防止网站被侵入如何防止网站被黑网站安全服务如何防止网站被挂马网站安全维护网站安全防护服务网站安全问题怎么查找网站漏洞网站后门检测工具Linux服务器安全... 查看详情

nikto介绍及使用方法

...0#利用代理进行扫描-vhost#当一个网站存在多个端口时可以使用-vhost遍历所有网站进行扫描或一个ip对应多个网站   Nikto交互形参数：空格报告当前扫描状态v显示详细信息（verbose）d调试信息（及其详细信息）e显示错误... 查看详情

网站安全扫描工具，举荐6个网站安全扫描工具

...问题的工具。第二个：WebscarabWebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单，WebScarab可以记录它检测到的会话内容(请求和应答)，并允许使用者可以通过多种形式来查看记录。WebScarab的设计... 查看详情

网站安全漏洞检测服务对oa系统***测试服务详情

...***测试服务详情分类专栏：网站安全网站被黑网站被篡改如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全维护网站安全***测试服务网站漏洞检测服务网站安全检测服务版权***测试服务，是甲方授... 查看详情

网站漏洞检测修复短息轰炸漏洞检测与修补方案

...检测与修补方案分类专栏：网站安全网站被篡改网站被黑如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务web网站安全服务怎么查找网站漏洞网站***检测网站被黑怎么修复wordpress漏洞修复该内容被禁止访问... 查看详情

怎样用wpscan，nmap和nikto扫描和检查一个wordpress站点的安全性

...装WordPress，可以看下下面的文章。在基于Debian的系统上：如何在Ubuntu上安装WordPress在基于RPM的系统上：如何 查看详情

如何检测网站服务器的漏洞？

如何检测网站服务器的漏洞？希望提供比较直接有效的方法。查找Web服务器漏洞在Web服务器等非定制产品中查找漏洞时，使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同，几乎所有的Web服务器都使用... 查看详情

网站漏洞***安全测试重点检测方法

...洞检测网站***测试漏洞检测文章标签：网站漏洞测试网站漏洞扫描网站漏洞查找网站***查找网站漏洞修复版权最近***测试工作比较多没有空闲的时间来写文章,今天由我们Sine安全的***主管来普及一下java的安全测试基础，很多客户... 查看详情

nikto

...用参数：-host utl/ip/host.txt -port端口 -ssl<是否使用ssl> -useproxy代理地址-可用管道符将其他扫描器的结果作为目标 在扫描期间按以下按键有相应的效果Space–reportcurrentsc 查看详情

xss网站漏洞如何修复大牛支招让您网站更安全

XSS网站漏洞如何修复大牛支招让您网站更安全分类专栏：网站被黑网站安全如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题怎么查找网站漏洞ecshop漏洞修复Met... 查看详情

网站漏洞修复之vim文本编辑bug分析与修复方案

...文本编辑BUG分析与修复方案分类专栏：网站安全网站被黑如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题怎么查找网站漏洞网站后门检测工具网站被挂马怎么... 查看详情

网站安全***测试维护公司漏洞信息搜集方法

...固版权快到十二月中旬了,很多***测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全，把网站安全... 查看详情

cms网站漏洞检测对获取管理员密码漏洞如何修复

PbootCMS是网站常用的一款CMS系统，是由国内著名程序开发商翔云科技研发的一套网站CMS系统，免费开源，扩展性较高，使用的企业很多但是避免不了网站存在漏洞，SINE安全对其代码进行安全审计的同时发现该pbootcms存在严重的漏... 查看详情

网站漏洞扫描工具推荐，其中两款开源免费软件你知道吗？

...挖漏洞来来找下一个金主，而网站则是不断的使用着网站漏洞扫描工具检查网站之中可能存在的隐患，防止有心人得逞，或者是造成网站的瘫痪，下面我们来介绍一下比较出名的网站漏洞扫描工具，在个人生活之中也可以使用的... 查看详情

怎么修复网站漏洞骑士cms的漏洞修复方案

...的漏洞修复方案分类专栏：网站安全网站被黑网站被篡改如何防止网站被侵入如何防止网站被挂马如何防止网站被黑网站安全服务网站安全文章标签：如何修复网站漏洞网站漏洞怎么修复网站安全公司网站被黑怎么处理版权骑士... 查看详情

我的网站360检测有高危漏洞，怎么修复？

...上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括 查看详情