💭 Jeremys Brain

nikto-web-scanner

2 min read

Nikto Web Scanner

Nikto ist ein freier, quelloffener Webscanner, der Webserver auf potenzielle Sicherheitslücken überprüft. Er durchsucht Webserver nach gefährlichen Dateien/CGIs, veralteten Versionen und anderen bekannten Problemen. Nikto ist in Perl geschrieben und unterstützt eine Vielzahl von Plugins und Testmodulen.

Installation

Voraussetzungen

  • Perl: Nikto erfordert Perl zur Ausführung.
  • OpenSSL: Für SSL-Unterstützung benötigt.

Installationsschritte

  1. Herunterladen des Quellcodes: 
    git clone https://github.com/sullo/nikto.git
  2. Abhängigkeiten installieren (optional, falls erforderlich): 
    cpan install Net::SSLeay
  3. Nikto ausführbar machen: 
    cd nikto/program
chmod +x nikto.pl

Grundlegende Nutzung

Ein einfacher Scan gegen eine Ziel-URL:

./nikto.pl -h http://zielserver.de

Wichtige Optionen

  • -h: Zielhost oder IP-Adresse.
  • -p: Portnummer (Standard ist 80 für HTTP).
  • -ssl: Erzwingt SSL für den Scan.
  • -output: Speichert die Ergebnisse in einer Datei.
  • -Format: Legt das Ausgabeformat fest (z.B. txt, csv, html, nbe, xml).

Beispiel mit zusätzlichen Optionen:

./nikto.pl -h zielserver.de -p 443 -ssl -Format html -output ergebnis.html

Erweiterte Funktionen

Tuning von Tests

Nikto ermöglicht das Feintuning der durchzuführenden Tests mittels der Option -Tuning.

  • 0: Standardeinstellung, führt alle Tests aus.
  • 1: Suche nach interessanten Dateien.
  • 2: Suche nach gefährlichen Dateien.
  • 3: Suche nach Auskunftsdateien.
  • 4: Suche nach CGI-Verzeichnissen.
  • x: Kombination von Tests, z.B. -Tuning 1234.

Beispiel:

./nikto.pl -h zielserver.de -Tuning 1

Verwendung eigener Plugins

Benutzerdefinierte Plugins können im Verzeichnis plugins abgelegt werden, um spezielle Tests durchzuführen.

Proxy-Unterstützung

Scans über einen Proxy-Server durchführen:

./nikto.pl -h zielserver.de -useproxy http://proxyserver:8080

Ausgabeformate

Nikto unterstützt verschiedene Ausgabeformate für die Berichterstellung:

  • Plain Text (txt)
  • Comma-Separated Values (csv)
  • HTML (html)
  • Nessus NBE (nbe)
  • XML (xml)

Beispiel:

./nikto.pl -h zielserver.de -Format xml -output scan_ergebnis.xml

Automatisierung und Skripting

Nikto kann in Skripte oder andere Tools integriert werden, um automatisierte Sicherheitsprüfungen durchzuführen.

Beispiel eines Batch-Scans:

for host in $(cat hosts_liste.txt); do
    ./nikto.pl -h $host -output ergebnisse/$host.txt
done

Best Practices

  • Regelmäßige Updates: Aktualisieren Sie Nikto regelmäßig, um die neuesten Schwachstellen-Checks zu erhalten.
  • Erlaubnis einholen: Führen Sie Scans nur auf Systemen durch, für die Sie autorisiert sind.
  • Ergebnisse analysieren: Überprüfen Sie die Scan-Ergebnisse sorgfältig und priorisieren Sie die Behebung kritischer Schwachstellen.

tags:niktowebsecuritysicherheitscannerpentestingtoolsopensourcewebserver

Web-Attack-Overview

Graph View