Niktoは、Perlベースのオープンソースの脆弱性ツールであり、何千もの脆弱性、古いバージョン、およびその他の既知の問題について、Webサーバーに対して幅広いテストを実行します。 NiktoはPerlベースであるため、Perlがインストールされているすべてのオペレーティングシステムで実行できます。このチュートリアルでは、UbuntuVPSにNiktoをインストールして使用する方法を示します。インストールは非常に簡単で高速です。
Niktoには、次のような多くの便利な機能があります。
- 古いサーバーコンポーネントをチェックします
- レポートをプレーンテキスト、XML、HTML、NBE、またはCSVで保存する
- 複数のポートまたは複数のサーバーをスキャンする
- ヘッダー、ファビコン、ファイルを介してインストールされたソフトウェアを識別します
- スキャンチューニングを使用して、脆弱性のクラス全体を含めたり除外したりします
- チェック
- 肯定的なテストの完全な要求/応答を保存します
- その他多数…
まず、UbuntuVPSにユーザーrootとしてログインします
ssh root@IP_ADDRESS
インストールされているすべてのパッケージが最新であることを確認してください
apt-get update && apt-get upgrade
いくつかの前提条件をインストールします
apt-get install wget unzip libnet-ssleay-perl libwhisker2-perl openssl
Niktoの公式ウェブサイトにアクセスして、最新リリースをサーバーにダウンロードします
cd /opt wget https://cirt.net/nikto/nikto-2.1.5.tar.gz
ダウンロードしたtarballアーカイブを解凍します
tar xvfz nikto-2.1.5.tar.gz
これにより、新しい「nikto-2.1.5」ディレクトリが作成されます。このディレクトリの名前を変更します
mv nikto-2.1.5/ nikto
現在の作業ディレクトリを変更し、Perlスクリプトを実行可能にします
cd nikto/ chmod +x nikto.pl
Niktoのデータベースとプラグインを更新する
perl nikto.pl -update + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_parked_strings' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_report_csv.plugin' + Retrieving 'db_tests' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to https://github.com/sullo/nikto
ウェブサイトの簡単なテストスキャンを実行できます
perl nikto.pl -h yourwebsite.com
Webサーバーがデフォルトのポートとは異なるポートでリッスンしている場合は、-pスイッチを使用してポートを指定できます。
この単純なスキャンの出力は、XSSの脆弱性、古くて脆弱なWebアプリケーションなどの非常に有用な情報を提供します。 -oスイッチを使用して出力をファイルに保存し、出力の形式を指定できます。たとえば、次のコマンドはWebサイトをスキャンし、出力をhtmlファイルに保存します。
perl nikto.pl -h yourwebsite.com -o scan.htm
-hスイッチを使用してNiktoがサポートするすべてのオプションを確認できます
perl nikto.pl -h -config+ Use this config file -Display+ Turn on/off display outputs -dbcheck check database and other key files for syntax errors -Format+ save file (-o) format -Help Extended help information -host+ target host -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -output+ Write output to this file -nossl Disables using SSL -no404 Disables 404 checks -Plugins+ List of plugins to run (default: ALL) -port+ Port to use (default 80) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Tuning+ Scan tuning -timeout+ Timeout for requests (default 10 seconds) -update Update databases and plugins from CIRT.net -Version Print plugin and database versions -vhost+ Virtual host (for Host header)
Niktoの詳細については、公式ドキュメントを参照してください。
もちろん、マネージドVPSホスティングサービスのいずれかを使用している場合は、これを行う必要はありません。その場合は、専門のLinux管理者にNiktoのインストールを依頼するだけです。 24時間年中無休でご利用いただけます。リクエストはすぐに処理されます。
PS。 この投稿が気に入った場合は、左側のボタンを使用してソーシャルネットワーク上の友達と共有するか、下に返信を残してください。ありがとう。