Sử dụng Nikto để quét lổ hổng bảo mật trên Server

Nikto là một công cụ mã nguồn mở hoàn toàn miễn phí giúp người dùng kiểm tra hơn 6700 lỗ hổng (vulnerabilities) khác nhau trên server của mình. Nikto được viết trên mã nguồn Perl giúp nó có thể chạy trên rất nhiều hệ điều hành, đặc biệt là Linux. Bài viết này sẽ hướng dẫn bạn sử dụng nó và bảo mật thêm cho máy chủ của mình.

Cài đặt Perl:

Như trong bài viết, Nikto được viết bằng mã nguồn Perl nên Server của bạn phải cài đặt nó để sử dụng.
Windows:

Ubuntu/Debian:

api-get install perl

Centos/Fedora/RHEL:

yum install perl
Tải và sử dụng Nikto:

Sau khi đã cài đặt xong Perl, bạn tải mã nguồn của Nikto tại: https://cirt.net/Nikto2 , giải nén ra và sử dụng. Sau đây là hướng dẫn chi tiết với Linux:

wget https://cirt.net/nikto/nikto-2.1.5.tar.gz
tar zxvf nikto-2.1.5.tar.gz
cd nikto-2.1.5
perl nikto.pl

Nếu mọi thứ hoạt động thì sẽ hiện như sau:

     Nikto v2.1.5
     ------------------------------------------------
     + ERROR: No host specified

   -config+            Use this config file
   -Display+           Turn on/off display outputs
   -dbcheck            check database and other key files for syntax errors
   -Format+            save file (-o) format
   -Help               Extended help information
   -host+              target host
   -id+                Host authentication to use, format is id:pass or id:pass:realm
   -list-plugins       List all available plugins
   -output+            Write output to this file
   -nossl              Disables using SSL
   -no404              Disables 404 checks
   -Plugins+           List of plugins to run (default: ALL)
   -port+              Port to use (default 80)
   -root+              Prepend root value to all requests, format is /directory
   -ssl                Force ssl mode on port
   -Tuning+            Scan tuning
   -timeout+           Timeout for requests (default 10 seconds)
   -update             Update databases and plugins from CIRT.net
   -Version            Print plugin and database versions
   -vhost+             Virtual host (for Host header)
            + requires a value

    Note: This is the short help output. Use -H for full help text.

Sau đó, muốn sử dụng Nikto thì ta chỉ cần gõ lệnh:

perl nikto.pl -host http://example.com

Lưu ý: Việc sử dụng Nikto để quét lỗ hổng có thể bị nhận dạng là một cuộc tấn công mạng. Hãy chắc chắn rằng bạn sử dụng Nikto vì mục đích tốt.

Dây rút nhựa tp hcm