[Tool] Nikto – Công cụ dò tìm lỗi website cơ bản

1532

                  Nikto – Công cụ dò tìm lỗi website cơ bản

Lưu ý : việc hướng dẫn sử dụng các phần mềm ứng dụng được trình bày trong bài là nhằm mục đích dò tìm các lỗi bảo mật của hệ thống chứ không phải để tìm cách khai thác bất hợp pháp tài sản hay hệ thống cá nhân hoặc doanh nghiệp khác. Mong mọi người để tâm.

Nikto
Nikto là một phần mềm mã nguồn mở được sử dụng kiểm tra các vấn đề bảo mật của Web Server bằng một hệ thống cơ sở dữ liệu riêng đến khoảng 70 ngàn lỗi bảo mật thông thường được tìm thấy và cập nhật với từng phiên bản.

Có thể nói với mình thì nikto là một trong những handy-tool mà mình thường sử dụng để check nhanh các vấn đề bảo mật mà Web Server đối tượng đang gặp phải như : các cấu hình phía dịch vụ máy chủ hoặc phần mềm sai sót, các chương trình hay file mặc định được tìm thấy, các chương trình hay file không an toàn được tìm thấy, những lỗ hổng cơ bản ở ứng dụng web,..

Nikto hoạt động trên cả 3 môi trường OS quen thuộc, ở đây mình sẽ sử dụng môi trường Linux :
– MAC OS
– Linux
– Windows

Trang download của nhà phát triển “Nikto” : https://cirt.net/nikto/

1>  Cài đặt chương trình “Nikto”

Tải chương trình “nikto” về.


Ta tiếp tục tiến hành cài đặt chương trình “nikto”


Khi ta chạy chương trình mà không có các tham số phụ trợ sẽ ra màn hình hỗ trợ thông tin như sau :

 

2> Cấu trúc lệnh
Các bạn có thể tham khảo các tham số ở trên để sử dụng. Ở đây mình sẽ trình bày cấu trúc lệnh chính được sử dụng chủ yếu để kiểm tra nhanh lỗi web server. Giá trị <host_target> bạn có thể để IP hoặc tên miền đối tượng :

Trên đây là một đoạn kết quả xuất ra, có thể thấy được các thông tin cơ bản. Nhưng điều quan trọng mình muốn các bạn chú ý ở đây chính là thông tin về lỗi “OSVDB- <serial>“. Đây chính là thông tin về lỗi bảo mật mà nikto khai thác và phát hiện được. Để đọc thêm thông tin về lỗi bảo mật “nikto” cung cấp bạn hãy truy cập website sau : http://osvdb.org/<serial>

Ví dụ : http://osvdb.org/3092 , ta sẽ nhận được trang thông tin về lỗi.

 

3>  Các cấu trúc lệnh khác

– Sử dụng port khác để dò tìm


– Dò tìm lỗi chạy thông qua Proxy


– Cập nhật cơ sở dữ liệu


4> Kết luận

Như vậy là về cơ bản mình đã trình bày xong việc sử dụng tool nikto như một công cụ tìm lỗi nhanh dựa trên cơ sở dữ liệu riêng của nhà phát triển ứng dụng. Một công cụ khá là tuyệt vời nhưng bạn cũng không nên trông mong rằng tất cả output của chương trình khi scan đều là kết quả chính xác.

Hy vọng các bạn có thể sử dụng chương trình phục vụ mục đích tốt là bảo mật hệ thống của các bạn.

 

5> Download “nikto”

Download phần mềm “nikto” không thông qua trang chủ của http://cirt.net/

Link download
Thông tin SHA và MD5
MD5 : EFCC98A918BECB77471EE9A5DF0A7B1E
SHA-1 : 95D24BEAD999509CB70E8D586B2DCBF366D0D0E8
 

Note : mình có sử dụng chương trình rút gọn link kiếm tiền tiêu nho nhỏ “adf.ly” . Nếu bạn có nhã ý download thì bạn đợi 5s rồi bấm “next” hoặc “tiếp tục” nhé. Mình cam kết link không tồn tại đường dẫn chứa virus hay bất kì phần mềm độc hại nào, trừ các phần mềm có kèm crack thì sẽ cảnh báo bạn việc sử dụng. Cám ơn.

Chúc các bạn thành công.

Đánh giá sao từ người đọc :
[ Tổng : 1 - Trung bình: 5 ]