tool

Nikto入門①

 

脆弱性のチェックにも使えるツールであるniktoについて解説します。

 

Niktoとは

 

NiktoはWEBサーバとそのWEBサーバで稼働しているアプリケーションに対して、公表されている脆弱性やセキュリティ上問題ある設定をスキャンしてくれるツールです。

 

内部的には辞書ベースでスキャンが行われます。

 

脆弱性サイトmetasploitable2に対してniktoを行う

 

今回はKaliLinuxとMetasploitable2でNiktoによるスキャンを実現します。

 

【端末とIP】

Metasploitable2 192.168.0.10
KaliLinux 192.168.0.3

 

以下コマンドを打ち込みます。

nikto -h 192.168.0.10

 

 

Apacheが古いバージョンであること、PHPも脆弱性であるバージョンであることが示されています。

 

 

このバージョンのPHPではURLに?-sでソースが見れました。

 

その他niktoでわかった脆弱性

 

クリックジャッキング スニッフィング防止の不備
XSS traceメソッドがactiv

 

-tool

© 2021 ストロテクトNote