- بواسطة x32x01 ||
ايه هو Nikto وليه مهم؟ 
Nikto هو ماسح ويب مفتوح المصدر بيعمل فحص شامل لمواقع الويب وخوادم الـ HTTP/HTTPS. الأداة بتجرِّب آلاف اختبارات على السيرفر علشان تلاقي ملفات خطرة، سكريبتات قديمة، إعدادات خاطئة، وثغرات ممكن يستغلها الهاكرز. لو شغال في أمن المعلومات أو عندك موقع وعايز تعرف نقاط الضعف - لازم تعرف تستخدم Nikto. 
مميزات Nikto وليه الناس بتستخدمه؟ 
- بيعمل أكتر من 6000 اختبار على موقع واحد.
- يكشف ملفات ونقاط ضعف مش باينة من بره.
- مفتوح المصدر وفيه بلجنات بتتحدث باستمرار.
- مناسب كخطوة أولى في اختبار الاختراق أو تقييم أمان السيرفر.
متى تستخدم Nikto؟ 
استخدمه لما تحب تعمل مسح خارجي (from outside) علشان تكتشف ملفات منسية، صفحات قديمة، أو إعدادات خادِم غلط. مفيد كجزء من Recon أو مرحلة الاكتشاف في pentest.ازاي تفحص موقع باستخدام Nikto خطوة بخطوة 
1. تثبيت الأدوات الأساسية
قبل كل حاجة، لو على توزيعة لينكس أوبونتو أو ديبيان: Code:
apt update
apt install git perl -y2. جلب Nikto وتشغيله
Code:
git clone https://github.com/sullo/nikto
cd nikto/program
# تشغيل مباشر (لو مديته صلاحية تنفيذ)
./nikto.pl -h http://www.example.com
# أو تشغيل عن طريق perl
perl nikto.pl -h http://www.example.com3. أمثلة للعناوين اللي تقدر تفحصها
www.mywebsitetotest.com- موقع عادي على بورت 8010.3.12.31- فحص على الـ IP مباشرةhttps://www.mywebsitetotest.com- موقع HTTPS على بورت 443
فحص المضيفين الظاهريين (Virtual Hosts) 
لو السيرفر بيستضيف مواقع كتير (Virtual Hosts)، لازم تفحص كل اسم مضيف (hostname) على حدة وكمان تفحص الـ IP. لو فتحت عنوان واحد بس ممكن تفوتك تطبيقات أو سكريبتات موجودة تحت اسم مضيف تاني - فالتغطية الكاملة مهمة.وقت الفحص: ممكن يكون طويل 
علشان Nikto بيشغّل آلاف الاختبارات، الفحص ممكن ياخد من نص ساعة لحد ساعة أو أكتر - وده بيعتمد على سرعة السيرفر وعدد الاختبارات. خليه يشتغل وسبه يخلص علشان تحصل نتيجة جيدة.الإيجابيات الكاذبة (False Positives) وإزاي تتعامل معاها 
Nikto ممكن يديك نتائج كتير تعتبر “موجودة” بس فعلاً الصفحة بترجع 200 OK حتى لما تكون صفحة خطأ - فده بيعمل إيجابيات كاذبة. الحل:- راجع النتائج يدويًا للتأكد.
- شوف URL اللي اتكشف ولو بيرجع صفحة فاضية أو صفحة 404 متبدلة.
- استبعد النتائج الليConfirmed إنها false positives بعد التأكد.
قدرة التوسيع والإضافات (Plugins) 
Nikto بيشتغل بنظام بلجنات بتتحدث باستمرار، وبيدي مرونة لإضافة فحوص جديدة أو طرق كشف مبتكرة. فيه كمان امكانيات لتجاوز بعض أنظمة الـ IDS باستخدام libwhisker لكن الافتراضي هو فحص بدون مراوغة - ومهم تستخدم المراوغة بحذر ومسؤولية.
Nikto أداة قوية وبسيطة للبدء في فحص مواقع الويب واكتشاف مشاكل في السيرفر. بتعمل آلاف الفحوص وتديك صورة سريعة عن حالة أمان موقعك، لكن لازم تتعامل مع النتائج بحذر وتأكد يدويًا من الإيجابيات الكاذبة. استخدمها مع أدوات تانية وخليك دائمًا تعمل تقييم بعد ما تحل الثغرات. التعديل الأخير: