Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。
工具使用
打开Kali工具列表,点击02-漏洞扫描,选择nikto LOGO,会打开Terminal终端
Nikto帮助
在终端中我们可以使用nikto 命令查看帮助信息,或者通过nikto -H 、man nikto 查看更详细的帮助信息。
Nikto 插件
Nikto 通过大量插件进行扫描,我们可以通过 nikto -list-plugins 来查看插件信息
可以通过nikto -V 来查看工具版本和插件版本
常规扫描
在终端中使用nikto -host/-h http://www.example.com进行扫描
指定端口扫描
使用命令nikto -h http://xxx.xxx.xxx.xxx -p 端口号可以指定端口进行扫描,同样可以指定SSL协议,进行HTTPS扫描。
指定目录扫描
有时候我们只要扫描网站下的某个子目录,我们可以使用-c 参数指定扫描的目录,使用-c all 可进行目录爆破,并扫描。
多目标扫描
nikto支持多个目标进行扫描,我们将多个地址写入到文本中,通过- host参数+文本的方式进行扫描。
其他功能
升级
升级更新插件:nikto -update