Kali Linux: nikto cari web vulnerability
Sebelum menyerang situs web apa pun, sangat penting untuk melakukan pengintaian yang baik. Beberapa menit pengintaian dapat menghemat berjam-jam waktu hacking. Hanya dengan mencoba berbagai teknik hacking tanpa terlebih dahulu menemukan kerentanan situs adalah kebodohan murni.
Ada sejumlah tool dan aplikasi untuk menemukan kerentanan di sebuah situs web, tetapi salah satu yang paling sederhana adalah nikto.
Tool kecil dan sederhana ini memeriksa situs web dan melaporkan kembali kepada kita akan potensi kerentanan yang ditemukan yang dapat kita gunakan untuk mengeksploitasi atau meretas situs. Selain itu, ini adalah salah satu tool kerentanan situs web yang paling banyak digunakan di industri dan di banyak kalangan dianggap sebagai standar industri.
Meskipun tool ini sangat berguna dan efektif, tool ini dapat di deteksi (tidak tersembunyi) . Situs web apa pun dengan IDS atau tindakan keamanan lainnya akan mendeteksi bahwa kita sedang men-scan. Awalnya dirancang untuk pengujian keamanan, oleh karena itu tidak pernah dimaksudkan untuk dilakukan dengan diam-diam.
Step 1: Jalankan Kali & Buka Nikto
Untuk menjalankan Nikto, kita perlu menjalankan Kali. Ketika Kali sudah jalan, masuk ke
Kali Linux -> Vulnerability Analysis -> Misc Scanners -> nikto
Meskipun ada banyak pilihan dalam menggunakan nikto, kita akan membatasi diri di sini pada sintaks dasar, seperti ini:
nikto -h <IP or hostname>
Step 2: Scan Web Server
Mari kita mulai dengan server web yang aman di jaringan kita sendiri. Dalam hal ini, kita dapat menjalankan layanan http di komputer lain di jaringan. Tidak ada situs web yang dihosting oleh mesin ini, hanya server web. Mari kita scan kerentanannya dengan mengetik:
nikto -h 192.168.1.104
Nikto kemungkinan akan me-respon dengan banyak informasi.
First, it tells us the server is Apache 2.2.14, probably on Ubuntu. It nailed this info and gives up more information on other potential vulnerabilities on this web server.
Note near the bottom that it identifies some vulnerabilities with the OSVDB prefix. This is the Open Source Vulnerability Database. This is a database maintained of known vulnerabilities at www.osvdb.org, in addition to other databases I covered, such as SecurityFocus and Microsoft's Technet. Step 3Scan the Site
Let's try another site. In an earlier tutorial, we had hacked a web server named webscantest.com. Let's see what nikto can tell us about this site.
nikto -h webscantest.com
Once again, it identifies the server (Apache) and then proceeds to identify numerous potential vulnerabilities pre-fixed with OSVDB. We can take a look at that website at www.osvdb.org to learn more about these vulnerabilities.
Now, let's use this site to find information on one of the vulnerabilities identified by nikto as OSVDB-877. We can put that reference number into the search function and it retrieves the following page.
Note, in lower half of this page there are cross-references to the various information sources about this vulnerability, as well as references to tools and filters such as Nikto, Nessus, and Snort.
Scan WonderHowTo
Let's scan a few more sites and see what it can tell us about these sites. Let's see what we can find out about our own website, www.wonderhowto.com.
nikto -h wonderhowto.com
As you can see, it tells us that WonderHowTo is using Microsoft's IIS 8.5 as a web server and then lists numerous potential vulnerabilities.
However, any attempt to exploit the vulnerabilities listed will reveal that they're all false-positives, as WonderHowTo simply returns a harmless 404 page. This is because WonderHowTo is not built on php or asp as the noted exploits expect.
False positives like this can appear because the scan does not actually execute each of the possible vulnerabilities, but rather scans to see if the server responds without error to known exploitable URLs.
Scan Facebook
Finally, lets point nikto at www.facebook.com.
nikto -h facebook.com
As you can see, Facebook is tightly secured with few vulnerabilities. As you can imagine, if Facebook weren't secure, every script-kiddie on the planet would be hacking it to see who his true love is chatting with online.