Ini ialah arahan nikto yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
nikto - Imbas pelayan web untuk mencari kelemahan yang diketahui
SINOPSIS
/usr/local/bin/nikto [pilihan...]
DESCRIPTION
Periksa pelayan web untuk mencari masalah yang berpotensi dan kelemahan keselamatan, termasuk:
· Pelayan dan perisian salah konfigurasi
· Fail dan atur cara lalai
· Fail dan program tidak selamat
· Pelayan dan program lapuk
Nikto dibina di atas LibWhisker (oleh RFP) dan boleh dijalankan pada mana-mana platform yang mempunyai Perl
persekitaran. Ia menyokong SSL, proksi, pengesahan hos, pengelakan IDS dan banyak lagi. Ia boleh
dikemas kini secara automatik daripada baris arahan, dan menyokong penyerahan pilihan bagi
data versi dikemas kini kembali kepada penyelenggara.
PILIHAN
Di bawah adalah semua pilihan dan penjelasan baris arahan Nikto. Versi ringkas tentang ini
teks tersedia dengan menjalankan Nikto dengan pilihan -h (-help).
-Cgidirs
Imbas direktori CGI ini. Perkataan khas "tiada" atau "semua" boleh digunakan untuk mengimbas semua CGI
direktori atau tiada, (masing-masing). Nilai literal untuk direktori CGI seperti
"/cgi-test/" boleh ditentukan (mesti menyertakan garis miring di belakang). Jika ini adalah pilihan tidak
ditentukan, semua direktori CGI yang disenaraikan dalam config.txt akan diuji.
-config
Tentukan fail konfigurasi alternatif untuk digunakan dan bukannya config.txt yang terletak dalam
memasang direktori.
-dbcheck
Semak pangkalan data imbasan untuk ralat sintaks.
-Paparan
Kawal output yang ditunjukkan oleh Nikto. Lihat Bab 5 untuk maklumat terperinci tentang ini
pilihan. Gunakan nombor rujukan atau surat untuk menentukan jenis, berbilang boleh digunakan:
1 - Tunjukkan ubah hala
2 - Tunjukkan kuki yang diterima
3 - Tunjukkan semua 200/OK respons
4 - Tunjukkan URL yang memerlukan pengesahan
D - Output Nyahpepijat
V - Output Verbose
-pengelak
Tentukan teknik pengelakan LibWhisker IDS untuk digunakan (lihat dokumen LibWhisker untuk
maklumat terperinci mengenai perkara ini). Gunakan nombor rujukan untuk menentukan jenis, berbilang
mungkin digunakan:
1 - Pengekodan URI rawak (bukan UTF8)
2 - Direktori rujukan diri (/./)
3 - Penamatan URL pramatang
4 - Letakkan rentetan rawak yang panjang
5 - Parameter palsu
6 - TAB sebagai pengatur jarak permintaan
7 - Tukar kes URL
8 - Gunakan pemisah direktori Windows (\)
-terdapat
Hanya temui port HTTP(S), jangan lakukan imbasan keselamatan. Ini akan cuba
berhubung dengan HTTP atau HTTPS, dan laporkan pengepala Pelayan.
-Format
Simpan fail output yang ditentukan dengan pilihan -o (-output) dalam format ini. Jika tidak
ditentukan, lalai akan diambil daripada sambungan fail yang dinyatakan dalam -output
pilihan. Format yang sah ialah:
csv - senarai dipisahkan koma
htm - laporan HTML
txt - laporan teks
xml - laporan XML
-tuan rumah
Hos untuk disasarkan. Boleh menjadi alamat IP, nama hos atau fail teks hos. Satu sengkang
(-) mungkin digunakan untuk stdout. Juga boleh menghuraikan output gaya nmap -oG
-Tolong
Paparkan maklumat bantuan lanjutan.
-ID
ID dan kata laluan untuk digunakan untuk pengesahan hos Asas hos. Format ialah "id:password".
-list-plugin
Akan menyenaraikan semua pemalam yang Nikto boleh jalankan terhadap sasaran dan kemudian akan keluar tanpanya
melakukan imbasan. Ini boleh ditala untuk sesi menggunakan pilihan -plugins.
Format output ialah:
Pasangkan nama
penuh nama - Penerangan
Ditulis oleh pengarang, Hak Cipta (C) hak cipta terperlihara
-mutasi
Nyatakan teknik mutasi. Mutasi akan menyebabkan Nikto menggabungkan ujian atau cubaan
nilai tekaan. Teknik ini boleh menyebabkan sejumlah besar ujian dilancarkan
terhadap sasaran. Gunakan nombor rujukan untuk menentukan jenis, berbilang mungkin
digunakan:
1 - Uji semua fail dengan semua direktori akar
2 - Teka untuk nama fail kata laluan
3 - Hitung nama pengguna melalui Apache (/~permintaan jenis pengguna)
4 - Hitung nama pengguna melalui cgiwrap (/cgi-bin/cgiwrap/~permintaan jenis pengguna)
5 - Percubaan untuk menggunakan nama subdomain secara kasar, anggap bahawa nama hos ialah induk
domain
6 - Cuba meneka nama direktori daripada fail kamus yang dibekalkan
-mutasi-pilihan
Sediakan maklumat tambahan untuk mutasi, cth fail kamus
-nolookup
Jangan lakukan carian nama pada alamat IP.
-nossl
Jangan gunakan SSL untuk menyambung ke pelayan.
-no404
Lumpuhkan pemeriksaan 404 (fail tidak dijumpai). Ini akan mengurangkan jumlah permintaan
dibuat kepada pelayan web dan mungkin lebih baik apabila menyemak pelayan melalui pautan perlahan,
atau peranti terbenam. Ini biasanya akan membawa kepada lebih banyak positif palsu
ditemui.
-pengeluaran
Tulis output ke fail yang ditentukan. Format yang digunakan akan diambil daripada fail
sambungan. Ini boleh diatasi dengan menggunakan pilihan -Format (cth untuk menulis teks
fail dengan sambungan yang berbeza. Fail sedia ada akan mempunyai maklumat baharu yang dilampirkan.
-pemalam
Pilih pemalam yang akan dijalankan pada sasaran yang ditentukan. Senarai dipisahkan koma
hendaklah disediakan yang menyenaraikan nama pemalam. Nama-nama boleh didapati oleh
menggunakan -list-plugins.
Terdapat dua entri khas: SEMUA, yang menentukan semua pemalam akan dijalankan dan TIADA,
yang menyatakan tiada pemalam akan dijalankan. Lalai ialah SEMUA
-pelabuhan
Port TCP untuk disasarkan. Untuk menguji lebih daripada satu port pada hos yang sama, nyatakan senarai
port dalam pilihan -p (-port). Port boleh ditentukan sebagai julat (iaitu, 80-90), atau
sebagai senarai dipisahkan koma, (iaitu, 80,88,90). Jika tidak dinyatakan, port 80 digunakan.
-Jeda
Beberapa saat untuk menangguhkan antara setiap ujian.
-akar
Letakkan nilai yang ditentukan pada permulaan setiap permintaan. Ini berguna untuk diuji
aplikasi atau pelayan web yang mempunyai semua failnya di bawah direktori tertentu.
-ssl
Hanya uji SSL pada port yang ditentukan. Menggunakan pilihan ini akan mempercepatkan secara mendadak
permintaan ke port HTTPS, kerana jika tidak, permintaan HTTP perlu tamat masa terlebih dahulu.
-Bujang
Lakukan satu permintaan kepada pelayan sasaran. Nikto akan meminta semua pilihan yang
boleh ditentukan, dan kemudian laporkan output terperinci. Lihat Bab 5 untuk perincian
maklumat.
-masa tamat
Beberapa saat untuk menunggu sebelum tamat masa permintaan. Tamat masa lalai ialah 10 saat.
-Talaan
Pilihan penalaan akan mengawal ujian yang Nikto akan gunakan terhadap sasaran. Secara lalai,
jika mana-mana pilihan dinyatakan, hanya ujian tersebut akan dilakukan. Jika pilihan "x" ialah
digunakan, ia akan membalikkan logik dan mengecualikan hanya ujian tersebut. Gunakan nombor rujukan
atau surat untuk menentukan jenis, berbilang boleh digunakan:
0 - Muat Naik Fail
1 - Fail Menarik / Dilihat dalam log
2 - Salah konfigurasi / Fail Lalai
3 - Pendedahan Maklumat
4 - Suntikan (XSS/Script/HTML)
5 - Mendapatkan Fail Jauh - Di Dalam Web Root
6 - Penafian Perkhidmatan
7 - Pengambilan Fail Jauh - Luas Pelayan
8 - Pelaksanaan Perintah / Cangkang Jauh
9 - Suntikan SQL
a - Pintasan Pengesahan
b - Pengenalan Perisian
c - Kemasukan Sumber Jauh
x - Pilihan Penalaan Songsang (iaitu, sertakan semua kecuali yang ditentukan)
Rentetan yang diberikan akan dihuraikan dari kiri ke kanan, sebarang aksara x akan digunakan untuk semua
watak di sebelah kanan watak.
-useproxy
Gunakan proksi HTTP yang ditakrifkan dalam fail konfigurasi.
-kemas kini
Kemas kini pemalam dan pangkalan data terus daripada cirt.net.
-Versi
Paparkan perisian Nikto, pemalam dan versi pangkalan data.
-vhost
Tentukan pengepala Hos untuk dihantar ke sasaran.
Gunakan nikto dalam talian menggunakan perkhidmatan onworks.net
