Nikto Website Scanner - Công cụ dò tìm lỗi website cơ bản

679

28-03-2018

Nikto là một phần mềm mã nguồn mở được sử dụng kiểm tra các vấn đề bảo mật của Web Server. Bài viết sau của Bizfly Cloud sẽ nhằm mục đích hướng dẫn các bạn cách dò tìm các lỗi bảo mật của hệ thống. Chi tiết hãy cùng theo dõi nhé!

Nikto Website Scanner

Hãy scan trang web và server của bạn ngay lập tức bằng Nikto Web Scanner phổ biến. Dịch vụ thử nghiệm này có thể được sử dụng để kiểm tra website, Virtual Host và web server nhằm tìm ra các lỗ hổng bảo mật và các lỗi sai cấu hình.

Nikto thực hiện hơn 6000 bài kiểm tra trên một trang web. Số lượng lớn test cho cả security vulnerabilities và mis-configured web servers khiến nó trở thành công cụ được ưa thích của nhiều chuyên gia bảo mật và quản trị viên hệ thống. Nó có thể tìm thấy các scripts bị lãng quên và các vấn đề khác.

Nikto Website Scanner - Công cụ dò tìm lỗi website cơ bản - Ảnh 1.

Cách sử dụng Nikto website scan

Chọn Target Address để Scan

Các mục tiêu có thể được nhập riêng lẻ hoặc dưới dạng danh sách tải lên hàng loạt:

www.mywebsitetotest.com - Typical website on default Port 80

10.3.12.31 - IP address of a website on Port 80

https://www.mywebsitetotest.com - SSL website on default Port 443

Kiểm tra Virtual Hosts với Nikto

Nếu web server lưu trữ nhiều sử dụng using virtual hosts. Bạn nên kiểm tra từng máy chủ ảo bằng cách sử dụng Nikto để có được hiệu quả tốt hơn. Trong thực tế, Nikto khá hữu ích trong việc scan các địa chỉ IP cũng như hostname của server để đảm bảo tất cả các đường dẫn được kiểm tra cho bất kỳ vulnerable web applications và scripts nào.

Thời gian chạy Nikto

Do số lượng kiểm tra bảo mật mà công cụ này thực hiện, có thể mất 45 phút hoặc thậm chí lâu hơn, tùy thuộc vào tốc độ của web server.

False Positives với Nikto

Nikto hoạt động khá tốt trong việc phát hiện web server configurations trả về HTTP 200 OK trên các kết quả "page not found" thực tế. Vì Nikto đang kiểm tra hàng trăm URL cho sự hiện diện của scripts cũ, ứng dụng dễ bị tấn công và các sự cố khác. Điều này đôi khi có thể dẫn đến nhiều sai sót nếu phát hiện 404 -> 200 không được phát hiện bởi Nikto. Không quá khó khăn để phát hiện khi bạn sẽ nhận được rất nhiều url không hợp lệ. Đây là cách kiểm tra thủ công khá dễ dàng để đảm bảo chúng là false positives thực sự.

Về công cụ Nikto nguồn mở

Nikto web server scanner là một công cụ bảo mật, nó kiểm tra một trang web để chỉ ra được hàng ngàn vấn đề bảo mật có thể xảy ra. Bao gồm dangerous files, mis-configured services, vulnerable scripts và rất nhiều vấn đề khác nữa. Nikto là mã nguồn mở và được cấu trúc với các plugin giúp mở rộng khả năng. Các plugin này thường xuyên được cập nhật với các kiểm tra bảo mật mới.

Nikto không phải là một công cụ tàng hình. Nó sẽ tạo ra hơn 2000 yêu cầu HTTP GET tới web server, tạo ra một số lượng lớn các entries trong web servers log files. Sự thực thi này là một cách tuyệt vời để thử nghiệm Intrusion Detection System (IDS). Bất kỳ web server log monitoring, phát hiện xâm nhập dựa trên máy chủ (HIDS) hoặc phát hiện xâm nhập dựa trên mạng (NIDS) nào cũng sẽ phát hiện ra Nikto scan.

Custom scans có thể được bắt đầu bằng cách sử dụng phương pháp IDS bypass từ libwhisker.

Nikto Web Vulnerability Scanner là một công cụ phổ biến được tin dùng bởi penetration testers và security analysts. Nó sẽ khám phá được khá nhiều thông tin thú vị về web server hoặc website có nguy cợ bị lợi dụng để khai thác và tấn công.

Nguồn: hackertarget.com/nikto-website-scanner/

Nguồn: Bizfly Cloud chia sẻ