Nikto是一款开源的Web程序扫描器,可以扫描服务器中的存在的一些问题。Nikto是linux/Unix中的一款工具,可以从官方网站上下载,解压到本地运行。这里直接采用backtrack 5中集成的nikto工具。
nikto命令目录 /pentest/web/nikto/
root@bt:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins templates root@bt:/pentest/web/nikto# ./nikto.pl -h Option host requires an argument
-config+ Use this config file -Display+ Turn on/off display outputs -dbcheck check database and other key files for syntax errors -Format+ save file (-o) format -Help Extended help information -host+ target host -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -output+ Write output to this file -nocache Disables the URI cache -nossl Disables using SSL -no404 Disables 404 checks -Plugins+ List of plugins to run (default: ALL) -port+ Port to use (default 80) -root+ Prepend root value to all requests, format is /directory -Single Single request mode -ssl Force ssl mode on port -Tuning+ Scan tuning -timeout+ Timeout for requests (default 10 seconds) -update 升级数据库 CIRT.net -Version 打印插件版本和数据库版本 -vhost+ Virtual host (for Host header) + requires a value
Note: This is the short help output. Use -H for full help text.
如可以测试以下baidu
root@bt:/pentest/web/nikto# ./nikto.pl -h HdhCmsTest2cto测试数据 - Nikto v2.1.5
如截图: ,耐心等待,最后会把 漏洞 结果打印出来。根据探测结果,采取下一步行动,由于nikto 数据库 更新慢,所以一些最新的漏洞,可能探测不出来.注意nikto可能对目标网站产生大量的http连接或者流量,有可能导致较差目标网站宕机。如果目标网站做了防御,有可能被加入IP黑名单
查看更多关于探测网站(三)nikto探测Web服务器漏洞 - 网站安全的详细内容...