Web服务器扫描工具-Nikto

前几天有练习了小蜘蛛和跳过鱼
今天还是持续练习Web的工具
透过这些工具可以辅助我们更顺利进行手动测试

Nikto为开源的Web服务器扫描工具
以Perl语言开发，能在Linux上运行
由於执行过程中会发出大量请求
容易被防御设备IDS/IPS阻挡或IP被封锁

• 可以用来扫描：
  • 1.错误的配置
  • 2.过时的版本
  • 3.Web应用常见的安全问题
  • 4.搜索默认文件及不安全文件

主机、port和协议可以使用完整的 URL 语法来指定
Nikto会先常规测试 HTTP；如果失败则改为测试 HTTPS
若直接指定 -s (-ssl) 可以加快测试速度

扫描可以直接输入nikto -host URL

也可以直接输入nikto -h(host) ip位置

要检查不同的port
可以使用 -p (-port) 选项指定port号
-p 也可以是指定一个范围

我们能使用 -output -Format 指定输出格式
格式类型包含：

• CSV
• HTML
• XML
• NBE
• JSON
• TXT

实际练习下来扫描真的蛮迅速的~
但因为在IDS/IPS日志中会很明显
也可以反过来作为公司内部的IDS系统测试用