Nikto

| | コメント(0) | トラックバック(2)

Niktoはオープンソース(GPL)のWebアプリケーションセキュリティ評価ツールです。
危険性のあるファイルなど、WEBサーバのアイテムをテストします。

HTTPとHTTPSのチェックを行えます。
(Windows版は現在HTTPSはできない?Net::SSL moduleがあればいいのかな?)

Perlスクリプトなので、Perlが必要です。

ターゲットのWEBサーバに沢山のリクエストを投げます。
テストをする権限のないサーバにはやらないこと。

2003/10/31現在のバージョンはNikto 1.32 (Core version 1.19)。

他のWebアプリケーションセキュリティ評価ツールにParosなどがあります。
SEE:
Paros (このblogより)

簡単な使い方

アップデート

Scan imtensとプラグインは頻繁にアップデートされます。
自動的にアップデートさせることが可能です。

> perl nikto.pl -update
+ Local 'realms.db' (ver 1.003) is NEWER than remote (ver 1.002).
+ Retrieving 'server_msgs.db'
+ Retrieving 'scan_database.db'
+ www.cirt.net message: Version 1.32 has many bug fixes. If you see any problems
, or enhancements, please report them. Thanks.

あら?リモートより、ローカルのファイルの方が新しかったみたい?

ホスト名「www.example.jp」、ポート「80」をテストしてみる

> perl  nikto.pl -h www.example.jp -p 80
-***** SSL support not available (see docs for SSL install instructions) *****
---------------------------------------------------------------------------
- Nikto 1.32/1.19     -     www.cirt.net
+ Target IP:       xxx.xxx.xxx.xxx
+ Target Hostname: www.example.jp
+ Target Port:     80
+ Start Time:      Sat Nov  1 02:17:33 2003
---------------------------------------------------------------------------
- Scan is dependent on "Server" string which can be faked, use -g to override
(略)
+ 1510 items checked - 3 item(s) found on remote host(s)
+ End Time:        Sat Nov  1 02:19:09 2003 (96 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

未確認情報

プラグインディレクトリのuser_scan_database.dbファイルがあれば、スタートアップ時にユーザ定義のチェックをロードします(?)。
このファイルはscan_database.dbファイルとは異なり、updateオプションでも上書きされない(?)。

やっぱり

「インストールディレクトリ\docs\nikto_usage.html」を読みましょう(英語)。

トラックバック(2)

このブログ記事を参照しているブログ一覧: Nikto

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/133

» [un*x] Nikto(【で】にっき)~のトラックバック

ネタ元:id:magisystem:20040329#p5 さんとこ コンピュータ系blog: Nikto nmapは使っているんだけど、niktoは名前すらも知らなかった。ちょっと使ってみよう。 続きを読む

» SBM(PukiWiki (PukiWiki/TrackBack 0.3))~のトラックバック

FrontPage 2006-08-17 dabblenobody@example.com (nakano) xuqa.comnobody@example.com (nakano) The CPAN Search Site - search.cpan.orgnobody@example.com (shuriken) Akarru Social Bookmarking Engine - Tracnobody@example.com (shinchi) PSC SPEED TAG - ベクタ... 続きを読む

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2003年11月 1日 03:11に書いたブログ記事です。

ひとつ前のブログ記事は「古いエントリの変更履歴 (2003/10)」です。

次のブログ記事は「Qwik-Fix for Microsoft Windows」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261