როგორ მოვძებნოთ ვებ სერვერის დარღვევები Nikto სკანერით

 თქვენი ვებ სერვერის სკანირება დაუცველებისთვის, შეცდომების შეცვლა უფასოა Nikto სკანერთან


97% პროგრამის მიერ ტესტირება ნდობის ტალღა ჰქონდა ერთი ან მეტი სისუსტე.

საიმედო ტალღა-დაუცველი პროგრამები

და 14% გამოძიებული ჩანერგვა მოხდა შეცდომის შეცვლის გამო. შეცდომა შეიძლება გამოიწვიოს სერიოზულ რისკებამდე.

სანდო ტალღების ფაქტორები

არსებობს უამრავი ონლაინ დაუცველების სკანერი, რომ შეამოწმოთ თქვენი ვებ პროგრამები ინტერნეტში.

ამასთან, თუ თქვენ ეძებთ ინტრანეტის პროგრამების ან შიდა პროგრამების შესამოწმებლად, მაშინ შეგიძლიათ გამოიყენოთ ნიკო ვებ სკანერი.

Nikto არის ღია წყაროების სკანერი, რომლის ავტორიც არის დაწერილი კრის სულლო, შეგიძლიათ გამოიყენოთ ნებისმიერ ვებ სერვერზე (Apache, Nginx, IHS, OHS, Litespeed და ა.შ.). ჰგავს შესანიშნავი სერვისული ხელსაწყო ვებ სერვერების სკანირებისთვის.

ნიტო დასრულდა სკანირებისთვის 6700 ელემენტი აღმოაჩინონ არასწორი კონფიგურაცია, სარისკო ფაილები და ა.შ. და ზოგიერთ მახასიათებელს მოიცავს;

  • შეგიძლიათ შეინახოთ ანგარიში HTML, XML, CSV
  • ის მხარს უჭერს SSL- ს
  • სერვერზე სკანირების მრავალი პორტების სკანირება
  • იპოვნეთ ქვედონე
  • Apache მომხმარებლის დათვლა
  • ამოწმებს მოძველებული კომპონენტები
  • პარკირების ადგილების დადგენა

მოდით დავიწყოთ ინსტალაცია და როგორ გამოვიყენოთ ეს ინსტრუმენტი

ეს შეიძლება იყოს დაინსტალირებული Kali Linux ან სხვა OS (Windows, Mac OSX, Redhat, Debian, Ubuntu, BackTrack, CentOS და ა.შ.), რომლებიც მხარს უჭერენ Perl.

ამ სტატიაში მე განვმარტებ, როგორ გამოიყენოთ Kali Linux & CentOS.

Შენიშვნა: სკანირების შესრულება უამრავ მოთხოვნას ითხოვს თქვენს ვებ სერვერზე.

ნილოსის გამოყენება Kali Linux- ზე

მას შემდეგ, რაც ის კალიში არის ჩაშენებული, არ გჭირდებათ რამის დაყენება.

  • შესვლა Kali Linux- ში
  • გადადით პროგრამებზე >> დაუცველობის ანალიზი და დააჭირეთ ნიკოთო

kali-linux-nitko

ის გახსნის ტერმინალს, სადაც შეგიძლიათ განახორციელოთ სკანირება თქვენი ვებ სერვერის წინააღმდეგ.

სკანირების გასაშვებად მრავალი გზა / სინტაქსია. თუმცა, ყველაზე სწრაფი გზა ამის გაკეთებაა;

# nikto –h $ webserverurl

არ უნდა დაგვავიწყდეს, რომ შეცვალოთ $ webserverurl თქვენი ვებ სერვერის ფაქტობრივი IP ან FQDN.

[ელ.ფოსტა დაცულია]: ~ # nikto -h thewebchecker.com
– Nikto v2.1.6
—————————————————————————
+ მიზნობრივი IP: 128.199.222.244
+ მიზნის მასპინძელი სახელი: thewebchecker.com
+ მიზნობრივი პორტი: 80
+ დაწყების დრო: 2016-08-22 06:33:13 (GMT8)
—————————————————————————
+ სერვერი: Apache / 2.4.18 (Ubuntu)
+ სერვერის გაჟონვა ხდება ინტოქსიკაციებში ETags- ით, სათაურით ნაპოვნი ფაილი /, ველები: 0x2c39 0x53a938fc104ed
+ ანტი-clickjacking X-Frame- პარამეტრების სათაური არ არის წარმოდგენილი.
+ X-XSS- დაცვის სათაური არ არის განსაზღვრული. ამ სათაურს შეუძლია მიუთითოს მომხმარებლის აგენტზე XSS– ის ზოგიერთი ფორმისგან დასაცავად
+ X-Content-Type- ოფციები არ არის მითითებული. ეს საშუალებას მისცემს მომხმარებელმა ააგოს საიტის შინაარსი სხვა ფორმით MIME ტიპისთვის
+ ვერ იქნა ნაპოვნი CGI დირექტორიები (გამოიყენეთ ‘-C ყველა’, რათა აიძულოთ ყველა შესაძლო დიეტის შემოწმება)
+ დასაშვები HTTP მეთოდები: GET, HEAD, POST, OPTIONS
+ ნაპოვნია იშვიათი სათაური ‘x-ob_mode’, შინაარსი: 1
+ OSVDB-3092: / სახელმძღვანელო /: ნაპოვნია ვებ სერვერის სახელმძღვანელო.
+ OSVDB-3268: / სახელმძღვანელო / სურათები /: ნაპოვნია დირექტორიების ინდექსაცია.
+ OSVDB-3233: / ხატები / წაკითხვა: ნაგულისხმევი ფაილის ნაპოვნია Apache.
+ / phpmyadmin /: phpMyAdmin დირექტორია ნაპოვნია
+ 7596 მოთხოვნა: 0 შეცდომა (ებ) ის და 10 ელემენტი (ებ) ის შესახებ დისტანციური მასპინძელი
+ დასრულების დრო: 2016-08-22 06:54:44 (GMT8) (1291 წამი)
—————————————————————————
+ ტესტირება ჩატარდა 1 მასპინძელმა

როგორც ხედავთ, ზემოთ სკანირება ეწინააღმდეგება Apache 2.4-ის ნაგულისხმევი კონფიგურაციას და აქ ბევრი ყურადღება გჭირდებათ.

  • Clickjacking Attack
  • MIME ტიპის დაცვა

შეგიძლიათ მიმართოთ ჩემს Apache უსაფრთხოებას & გამკვრივების სახელმძღვანელო, ამ გამოსწორების მიზნით.

ნიტოს გამოყენება CentOS- ზე

  • შესვლა CentOS ან Linux– ის ნებისმიერ ოპერაციულზე
  • ჩამოტვირთეთ უახლესი ვერსია გითუბი wget- ის გამოყენებით

wget https://github.com/sullo/nikto/archive/master.zip .

  • ამონაწერი unzip ბრძანების გამოყენებით

unzip master.zip

  • ის შექმნის ახალ საქაღალდეს, სახელწოდებით “nikto-master”
  • გადადით საქაღალდეში nikto-master>პროგრამა

cd / nikto-master / პროგრამა

შეასრულოს nikto.pl სამიზნე დომენით

Შენიშვნა: შეიძლება მიიღოთ შემდეგი გაფრთხილება.

+ გაფრთხილება: მოდული JSON :: PP აკლია. არ არის გამოყენებული შენახული და გამეორების ფუნქციები.

თუ თქვენ იღებთ ამ გაფრთხილებას, მაშინ უნდა დააინსტალიროთ Perl მოდული შემდეგიდან.

# yum install perl-CPAN *

ერთხელ დაყენებული შეასრულეთ nikto და კარგად უნდა იყოს.

ამჯერად, მე გავაკეთებ სკანირებას Nginx ვებ სერვერის წინააღმდეგ, თუ როგორ ასრულებს ის.

./nikto.pl -h 128.199.222.244

nikto-nginx

როგორც ხედავთ ნაგულისხმევი Nginx, ვებ სერვერის კონფიგურაცია ასევე დაუცველია და უსაფრთხოების ეს სახელმძღვანელო დაგეხმარებათ მათ შერბილებაში.

წავიდეთ წინ და ითამაშეთ Nikto პროგრამული უზრუნველყოფის საშუალებით და თუ გაინტერესებთ მეტი რომ გაიგოთ, შეამოწმეთ ეს ჰაკერების და შეღწევადობის ტესტირების კურსი.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map