kali——nikto的使用

2024-09-02 07:36
文章标签 使用 kali nikto

本文主要是介绍kali——nikto的使用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

前言

使用方法

查看帮助(--help)

常规扫描(-h)

指定端口扫描(-h -p)

目录猜解(-h -C)

扫描敏感目录(-h)

保存扫描信息


前言

linux自带的nikto工具能够对Web服务器进行综合性的安全测试,识别出潜在的安全问题和WEB漏洞。Kali Linux默认安装的nikto工具可以通过各种参数进行web服务器扫描,包括指定端口、目录、插件管理等,并且支持HTTPS、代理扫描以及与Nmap集成,为渗透测试人员提供了广泛的使用场景。


使用方法

查看帮助(--help)
nikto --help

执行结果会列出所有选项及使用方法。


常规扫描(-h)
nikto -h 目标地址

nikto -h 192.168.100.130

扫描结果大致意思如下:

  1. 缺少X-Frame-Options头:为了防止点击劫持攻击,需要在HTTP响应头中添加X-Frame-Options头。可以将其设置为DENY、SAMEORIGIN或ALLOW-FROM来限制iframe的使用。

  2. 缺少X-Content-Type-Options头:为了确保浏览器正确渲染内容,可以在HTTP响应头中添加X-Content-Type-Options头,并将其设置为nosniff。

  3. PHP版本过时:PHP 5.4.16已经过时,建议升级到至少PHP 8.1.5。

  4. Apache版本过时:Apache 2.4.6已经过时,建议升级到至少Apache 2.4.54。

  5. 允许HTTP TRACE方法:HTTP TRACE方法可能导致跨站追踪(XST)攻击,建议禁用此方法。

  6. phpinfo()暴露系统信息:通过访问/info.php文件,可以获取到大量系统信息。建议删除或限制对该文件的访问。

  7. 目录索引:/icons/目录下的文件可以被直接访问,建议禁用目录索引。

  8. 远程文件包含(RFI):/info.php?file=http://blog.cirt.net/rfiinc.txt存在远程文件包含漏洞,建议修复该问题。

如果出现OSVDB-编号,说明网站存在该漏洞,可以到漏洞平台查询具体是什么漏洞。


指定端口扫描(-h -p)
nikto -h 目标地址 -p 端口

nikto -h 192.168.100.130 -p 80

在不指定端口的情况下,nikto默认扫描80端口。


目录猜解(-h -C)
nikto -h 目标地址 -C all          //扫描所有CGI目录

nikto -h 192.168.100.130 -C all


扫描敏感目录(-h)
nikto -h 网站地址

nikto -h www.sqlibs.com


保存扫描信息
nikto -h 目标地址 -output 指定文件路径

nikto -h 192.168.100.130 -output /root/nikto.txt

扫描结果将会保存到/root/nikto.txt文件里。



这篇关于kali——nikto的使用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1129375

相关文章

使用Sentinel自定义返回和实现区分来源方式

《使用Sentinel自定义返回和实现区分来源方式》:本文主要介绍使用Sentinel自定义返回和实现区分来源方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Sentinel自定义返回和实现区分来源1. 自定义错误返回2. 实现区分来源总结Sentinel自定

Pandas使用SQLite3实战

《Pandas使用SQLite3实战》本文主要介绍了Pandas使用SQLite3实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录1 环境准备2 从 SQLite3VlfrWQzgt 读取数据到 DataFrame基础用法:读

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

Java中StopWatch的使用示例详解

《Java中StopWatch的使用示例详解》stopWatch是org.springframework.util包下的一个工具类,使用它可直观的输出代码执行耗时,以及执行时间百分比,这篇文章主要介绍... 目录stopWatch 是org.springframework.util 包下的一个工具类,使用它

Java使用Curator进行ZooKeeper操作的详细教程

《Java使用Curator进行ZooKeeper操作的详细教程》ApacheCurator是一个基于ZooKeeper的Java客户端库,它极大地简化了使用ZooKeeper的开发工作,在分布式系统... 目录1、简述2、核心功能2.1 CuratorFramework2.2 Recipes3、示例实践3

springboot security使用jwt认证方式

《springbootsecurity使用jwt认证方式》:本文主要介绍springbootsecurity使用jwt认证方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录前言代码示例依赖定义mapper定义用户信息的实体beansecurity相关的类提供登录接口测试提供一

go中空接口的具体使用

《go中空接口的具体使用》空接口是一种特殊的接口类型,它不包含任何方法,本文主要介绍了go中空接口的具体使用,具有一定的参考价值,感兴趣的可以了解一下... 目录接口-空接口1. 什么是空接口?2. 如何使用空接口?第一,第二,第三,3. 空接口几个要注意的坑坑1:坑2:坑3:接口-空接口1. 什么是空接

springboot security快速使用示例详解

《springbootsecurity快速使用示例详解》:本文主要介绍springbootsecurity快速使用示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝... 目录创www.chinasem.cn建spring boot项目生成脚手架配置依赖接口示例代码项目结构启用s

Python如何使用__slots__实现节省内存和性能优化

《Python如何使用__slots__实现节省内存和性能优化》你有想过,一个小小的__slots__能让你的Python类内存消耗直接减半吗,没错,今天咱们要聊的就是这个让人眼前一亮的技巧,感兴趣的... 目录背景:内存吃得满满的类__slots__:你的内存管理小助手举个大概的例子:看看效果如何?1.

java中使用POI生成Excel并导出过程

《java中使用POI生成Excel并导出过程》:本文主要介绍java中使用POI生成Excel并导出过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录需求说明及实现方式需求完成通用代码版本1版本2结果展示type参数为atype参数为b总结注:本文章中代码均为