- بواسطة x32x01 ||
أمسح موقع الويب والخادم على الفور باستخدام ماسح الويب الشهير Nikto Web Scanner.
يمكن استخدام خدمة الاختبار هذه لاختبار موقع ويب ومضيف ظاهري وخادم ويب للكشف عن الثغرات الأمنية والتكوينات الخاطئة المعروفة.
يقوم Nikto بإجراء أكثر من 6000 اختبار على موقع ويب. العدد الكبير من الاختبارات لكل من الثغرات الأمنية وخوادم الويب التي تمت تهيئتها بشكل خاطئ يجعلها أداة انتقال للعديد من محترفي الأمان ومسؤولي الأنظمة . يمكنه العثور على البرامج النصية المنسية وغيرها من المشكلات التي يصعب اكتشافها من منظور خارجي.
كيف أقوم بفحص موقع باستخدام Nikto؟
تحديد عنوان الهدف للمسح يمكن إدخال الأهداف بشكل فردي أو كقائمة للتحميلات المجمعة:
اختبار المضيفين الظاهريين مع Nikto
إذا كان خادم الويب الخاص بك يستضيف مواقع متعددة باستخدام مضيفات افتراضية. يجب عليك اختبار كل مضيف افتراضي باستخدام Nikto للحصول على تغطية أكبر للضعف. في الواقع ، قد يكون من المفيد فحص عنوان IP بالإضافة إلى اسم مضيف الخادم للتأكد من اختبار جميع المسارات بحثًا عن أي تطبيقات ويب وبرامج نصية ضعيفة.
وقت تشغيل Nikto المطول
نظرًا لعدد الفحوصات الأمنية التي تجريها هذه الأداة ، فقد يستغرق الفحص 45 دقيقة أو حتى أكثر ، اعتمادًا على سرعة خادم الويب الخاص بك.
ايجابيات كاذبة مع Nikto
يعمل Nikto جيدًا في اكتشاف تكوينات خادم الويب التي تُرجع HTTP 200 OK في النتائج الفعلية "لم يتم العثور على الصفحة". نظرًا لأن Nikto يفحص المئات من عناوين URL بحثًا عن وجود نصوص برمجية قديمة وتطبيقات ضعيفة ومشكلات أخرى. يمكن أن يؤدي هذا في بعض الأحيان إلى العديد من الإيجابيات الخاطئة إذا لم يتم اكتشاف اكتشاف 404 -> 200 بواسطة Nikto. ليس من الصعب تحديد ذلك لأنك ستتلقى قدرًا كبيرًا من عناوين url غير الصالحة كإيجابيات. يتم فحصها يدويًا بسهولة للتأكد من أنها نتائج إيجابية خاطئة فعلية.
حول أداة Nikto مفتوحة المصدر
أداة فحص ثغرات الويب من niktoيعد جهاز فحص خادم الويب Nikto أداة أمان ستختبر موقع الويب بحثًا عن آلاف المشكلات الأمنية المحتملة. بما في ذلك الملفات الخطرة والخدمات التي تم تكوينها بشكل خاطئ والنصوص المعرضة للخطر وغيرها من المشكلات. إنه مفتوح المصدر ومنظم مع المكونات الإضافية التي تعمل على توسيع القدرات. يتم تحديث هذه المكونات الإضافية بشكل متكرر بفحوصات أمنية جديدة.
يمكن بدء عمليات الفحص المخصصة باستخدام طرق تجاوز IDS من libwhisker ، ولكن الإصدار الحالي من الفحص عبر الإنترنت هو فحص افتراضي (بدون مراوغة).
قبل أن تتلقى هذا الإشعار أو يقع موقعك فريسة لهجوم إلكتروني ، قم بتثبيت Nikto على جهاز كمبيوتر بعيد وابدأ تقييماتك.
يعد Nikto Web Vulnerability Scanner أداة شائعة موجودة في حقيبة الإمساك بالعديد من مختبري الاختراق ومحللي الأمان. غالبًا ما يكتشف معلومات مثيرة للاهتمام حول خادم ويب أو موقع ويب يمكن استخدامه لاستغلال أعمق أو تقييم نقاط الضعف.
تثبيت Nikto والتشغيل
تحتاج أيضا الى تثبيت حزم اذا لم تكون موجودة لديك انسخ الامر↓
يمكن استخدام خدمة الاختبار هذه لاختبار موقع ويب ومضيف ظاهري وخادم ويب للكشف عن الثغرات الأمنية والتكوينات الخاطئة المعروفة.
كيف أقوم بفحص موقع باستخدام Nikto؟
تحديد عنوان الهدف للمسح يمكن إدخال الأهداف بشكل فردي أو كقائمة للتحميلات المجمعة:
Code:
www.mywebsitetotest.com - Typical website on default Port 80
10.3.12.31 - IP address of a website on Port 80
https://www.mywebsitetotest.com - SSL website on default Port 443اختبار المضيفين الظاهريين مع Nikto
إذا كان خادم الويب الخاص بك يستضيف مواقع متعددة باستخدام مضيفات افتراضية. يجب عليك اختبار كل مضيف افتراضي باستخدام Nikto للحصول على تغطية أكبر للضعف. في الواقع ، قد يكون من المفيد فحص عنوان IP بالإضافة إلى اسم مضيف الخادم للتأكد من اختبار جميع المسارات بحثًا عن أي تطبيقات ويب وبرامج نصية ضعيفة.
وقت تشغيل Nikto المطول
نظرًا لعدد الفحوصات الأمنية التي تجريها هذه الأداة ، فقد يستغرق الفحص 45 دقيقة أو حتى أكثر ، اعتمادًا على سرعة خادم الويب الخاص بك.
ايجابيات كاذبة مع Nikto
يعمل Nikto جيدًا في اكتشاف تكوينات خادم الويب التي تُرجع HTTP 200 OK في النتائج الفعلية "لم يتم العثور على الصفحة". نظرًا لأن Nikto يفحص المئات من عناوين URL بحثًا عن وجود نصوص برمجية قديمة وتطبيقات ضعيفة ومشكلات أخرى. يمكن أن يؤدي هذا في بعض الأحيان إلى العديد من الإيجابيات الخاطئة إذا لم يتم اكتشاف اكتشاف 404 -> 200 بواسطة Nikto. ليس من الصعب تحديد ذلك لأنك ستتلقى قدرًا كبيرًا من عناوين url غير الصالحة كإيجابيات. يتم فحصها يدويًا بسهولة للتأكد من أنها نتائج إيجابية خاطئة فعلية.
حول أداة Nikto مفتوحة المصدر
أداة فحص ثغرات الويب من niktoيعد جهاز فحص خادم الويب Nikto أداة أمان ستختبر موقع الويب بحثًا عن آلاف المشكلات الأمنية المحتملة. بما في ذلك الملفات الخطرة والخدمات التي تم تكوينها بشكل خاطئ والنصوص المعرضة للخطر وغيرها من المشكلات. إنه مفتوح المصدر ومنظم مع المكونات الإضافية التي تعمل على توسيع القدرات. يتم تحديث هذه المكونات الإضافية بشكل متكرر بفحوصات أمنية جديدة.
يمكن بدء عمليات الفحص المخصصة باستخدام طرق تجاوز IDS من libwhisker ، ولكن الإصدار الحالي من الفحص عبر الإنترنت هو فحص افتراضي (بدون مراوغة).
قبل أن تتلقى هذا الإشعار أو يقع موقعك فريسة لهجوم إلكتروني ، قم بتثبيت Nikto على جهاز كمبيوتر بعيد وابدأ تقييماتك.
يعد Nikto Web Vulnerability Scanner أداة شائعة موجودة في حقيبة الإمساك بالعديد من مختبري الاختراق ومحللي الأمان. غالبًا ما يكتشف معلومات مثيرة للاهتمام حول خادم ويب أو موقع ويب يمكن استخدامه لاستغلال أعمق أو تقييم نقاط الضعف.
تثبيت Nikto والتشغيل
Code:
git clone https://github.com/sullo/nikto
# Main script is in program/
cd nikto/program
# Run using the shebang interpreter
./nikto.pl -h http://www.example.com
# Run using perl (if you forget to chmod)
perl nikto.pl -h http://www.example.comتحتاج أيضا الى تثبيت حزم اذا لم تكون موجودة لديك انسخ الامر↓
Code:
apt update
apt install git perl -y