Nikto是一個開源的WEB掃描評估軟件,可以對Web服務器進行多項安全測試,能在230多種服務器上掃描出 2600多種有潛在危險的文件、CGI及其他問題。Nikto可以掃描指定主機的WEB類型、主機名、指定目錄、特定CGI漏洞、返回主機允許的 http模式等。
工具使用
打開Kali工具列表,點擊02-漏洞掃描,選擇nikto LOGO,會打開Terminal終端
Nikto幫助
在終端中我們可以使用nikto 命令查看幫助信息,或者通過nikto -H 、man nikto 查看更詳細的幫助信息。
Nikto 插件
Nikto 通過大量插件進行掃描,我們可以通過 nikto -list-plugins 來查看插件信息
可以通過nikto -V 來查看工具版本和插件版本
常規掃描
在終端中使用nikto -host/-h http://www.example.com進行掃描
指定端口掃描
使用命令nikto -h http://xxx.xxx.xxx.xxx -p 端口號可以指定端口進行掃描,同樣可以指定SSL協議,進行HTTPS掃描。
指定目錄掃描
有時候我們只要掃描網站下的某個子目錄,我們可以使用-c 參數指定掃描的目錄,使用-c all 可進行目錄爆破,並掃描。
多目標掃描
nikto支持多個目標進行掃描,我們將多個地址寫入到文本中,通過- host參數+文本的方式進行掃描。
其他功能
升級
升級更新插件:nikto -update