Nikto
Nikto是一款開源的(GPL)網頁伺服器掃描器,它可以對網頁伺服器進行全面的多種掃描,包含超過3300種有潛在危險的文件/CGIs;超過625種伺服器版本;超過230種特定伺服器問題。掃描項和插件可以自動更新(如果需要)。基於Whisker/libwhisker完成其底層功能。這是一款非常棒的工具,但其軟體本身並不經常更新,最新和最危險的可能檢測不到。
Nikto的作者是Chris Sullo(頁面存檔備份,存於網際網路檔案館),他是開放安全基金會(Open Security Foundation)的財務總監。
功能
Nikto用來檢查網頁伺服器和其他多個範疇內的項目:
- 錯誤的配置
- 默認文件和腳本
- 不安全的文件和腳本
- 過時軟體
Nikto使用Rain Forest Puppy的LibWhisker實現HTTP功能,並且可以檢查HTTP和HTTPS。同時支持基本的埠掃描以判定網頁伺服器是否運行在其他開放埠。Nikto可以使用'update'選項從主版本站點自動更新,以應對新的弱點。Nikto可以在啟動時加載用戶自定義的檢測規則,當然前提是自定義檢測規則已經放在了user_scan_database.db文件內(這個文件在插件目錄下);即使使用-update選項升級,自定義的檢測規則也不會被覆蓋。Nikto也具有反入侵探測(IDS)功能。
系統要求
- Unix:
Perl、NET::SSLeay、OpenSSL(只在需要SSL掃描時才用到)。
- Windows
ActiveState(頁面存檔備份,存於網際網路檔案館)編譯的Net::SSL(只在需要SSL掃描時才用到)。可以考慮使用Cygwin。
發行
警告
Nikto是一個用來發現默認網頁文件、檢查網頁伺服器和CGI安全問題的工具。它對遠程主機使用大量請求,這些過量的請求可能會導致遠程主機宕機。Nikto可能會損害主機、遠程主機和網絡。某些選項可能對目標產生超過70,000個HTTP請求。同樣從Cirt.net更新的插件也不能保證絕對系統無害,選擇權在用戶手中。