Nikto est un outil de vulnérabilité open source basé sur Perl qui effectue une large gamme de tests sur des serveurs Web pour des milliers de vulnérabilités, des versions obsolètes et d'autres problèmes connus. Comme Nikto est basé sur Perl, il peut fonctionner sur tous les systèmes d'exploitation sur lesquels Perl est installé. Dans ce tutoriel, nous allons vous montrer comment installer et utiliser Nikto sur un VPS Ubuntu. Son installation est très simple et rapide.
Nikto est livré avec de nombreuses fonctionnalités utiles, telles que :
- Vérifie les composants serveur obsolètes
- Enregistrer les rapports en texte brut, XML, HTML, NBE ou CSV
- Analyser plusieurs ports ou plusieurs serveurs
- Identifie les logiciels installés via des en-têtes, des favicons et des fichiers
- Réglage de l'analyse pour inclure ou exclure des classes entières de vulnérabilité
- chèques
- Enregistrer la demande/réponse complète pour les tests positifs
- Et bien d'autres…
Tout d'abord, connectez-vous à votre VPS Ubuntu en tant qu'utilisateur root
ssh root@IP_ADDRESS
et assurez-vous que tous les packages installés sont à jour
apt-get update && apt-get upgrade
Installer certains prérequis
apt-get install wget unzip libnet-ssleay-perl libwhisker2-perl openssl
Allez sur le site officiel de Nikto et téléchargez la dernière version sur votre serveur
cd /opt wget https://cirt.net/nikto/nikto-2.1.5.tar.gz
Décompressez l'archive tarball téléchargée
tar xvfz nikto-2.1.5.tar.gz
Cela créera un nouveau répertoire ‘nikto-2.1.5’. Nous allons renommer ce répertoire
mv nikto-2.1.5/ nikto
Changer le répertoire de travail courant et rendre le script Perl exécutable
cd nikto/ chmod +x nikto.pl
Mettre à jour la base de données et les plugins de Nikto
perl nikto.pl -update + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_parked_strings' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_report_csv.plugin' + Retrieving 'db_tests' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to https://github.com/sullo/nikto
Pour une simple analyse de test de votre site Web, vous pouvez exécuter
perl nikto.pl -h yourwebsite.com
Si votre serveur Web écoute sur un port différent de celui par défaut, vous pouvez utiliser le commutateur -p pour spécifier le port.
Le résultat de cette analyse simple vous donnera des informations très utiles telles que les vulnérabilités XSS, les applications Web obsolètes et vulnérables, et bien d'autres. Vous pouvez enregistrer la sortie dans un fichier à l'aide du commutateur -o et spécifier le format de la sortie. Par exemple, la commande suivante analysera votre site Web et enregistrera la sortie dans un fichier html.
perl nikto.pl -h yourwebsite.com -o scan.htm
Vous pouvez vérifier toutes les options prises en charge par Nikto en utilisant le commutateur -h
perl nikto.pl -h -config+ Use this config file -Display+ Turn on/off display outputs -dbcheck check database and other key files for syntax errors -Format+ save file (-o) format -Help Extended help information -host+ target host -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -output+ Write output to this file -nossl Disables using SSL -no404 Disables 404 checks -Plugins+ List of plugins to run (default: ALL) -port+ Port to use (default 80) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Tuning+ Scan tuning -timeout+ Timeout for requests (default 10 seconds) -update Update databases and plugins from CIRT.net -Version Print plugin and database versions -vhost+ Virtual host (for Host header)
Vous trouverez de plus amples informations sur Nikto dans leur documentation officielle.
Bien sûr, vous n'avez rien à faire si vous utilisez l'un de nos services d'hébergement VPS géré, auquel cas vous pouvez simplement demander à nos administrateurs Linux experts d'installer Nikto pour vous. Ils sont disponibles 24h/24 et 7j/7 et prendront immédiatement en charge votre demande.
PS. Si vous avez aimé cet article, partagez-le avec vos amis sur les réseaux sociaux en utilisant les boutons à gauche ou laissez simplement une réponse ci-dessous. Merci.