출처:http://myungin.tistory.com/entry/Web-Scanning-Tool-NIKTO-%EA%B0%84%EB%9E%B5-%EA%B0%9C%EC%9A%94
- Linux 버젼(Backtrack - Ubuntu - ) 로 설명.
NIKTO( Ubuntu )
1. 다운로드 및 설치
- http://www.cirt.net/nikto2
처음 설치했다면, 다운로드 후 수동 설치 기준 : chmod 로 nikto.pl 파일에 대한 권한설정 요망.
2. 간략 소개
- Nikto는 6500개 이상의 잠재적으로 위험한 파일(CGI)을 포함한 여러 항목을 웹서버에 대한 포괄적 테스트를 수행. 다양한 서버에서 특정 문제, 취약점이 있는지 확인하는 오픈 소스(GPL)의 웹 서버 스캐너. 여러 인덱스 파일 형식, HTTP 서버 옵션 및, 관리자에 의해 설치된 서버의 프로그램들을 확인하여 서버 구성을 볼 수 있다. 이 프로그램은 은닉성을 고려하여 설계되지 않았으며, 최소한의 시간에 웹서버를 테스트하는 만큼, 로그 내역에 명백하게 남게 된다.
3. 설치 버전 확인
- 백트랙 R5 에는 이미 2.1.4 버전이 기본 설치 되어 있으나, 최신 버전은 현재 2.1.5 이다.
4. 옵션 화면
5. 사용법
- 중요한 옵션은 몇 가지 정의가 되어 있으므로, 편하게 사용하면 된다.
※ 테스트는 반드시 자신의 가상서버에 하길 바란다.
공인 호스트에 이곳저곳 날려대면, 조만간 ISP 업체에게 전화 올 것이다.
nicto.pl -h [ 대상 타겟 ] - Display [ Number ]
해당 웹 서버의 다양한 분석점과, 취약점을 알 수 있는 정보가 나열된다.
기본적으로, 이런 정보를 보고, 파악 및 이해를 할 수 있을 지식은 갖추어야, 원활한 툴 사용이 가능하다.
한 지면에서 다루기에는 너무 방대하므로, 스스로, 꾸준히 익혀나가기 바란다.
[ 그 외 옵션 ]
-config(c)
config파일을 지정, 기본 설정 값을 포함한 nikto.conf 라는 파일에서 각종 옵션과 호스트를 참조한다.
-host(h)
스캔을 수행할 웹 서버주소
-Cgdirs(C)
스캔할 CGI 디렉토리를 설정 none, all, /cgi처럼 특청폴더를 지정도 가능. all을 권장
-output(o)
결과를 출력할 파일 지정
-Single(s)
스캔을 한개씩 옵션을 지정해주면서 수행
-cookies
쿠키가 있으면 보여준다.
-evasion
IDS를 우회하기위해 URL을 인코딩
-Format
결과파일의 포맷 지정. txt, html, csv가능. -output이랑 같이 사용
-id
호스트 인증이 필요한 경우 id:password 형식으로 지정
-port(p)
대상 포트지정
-ssl
SSL(Https) 를 이용하는 홈페이지에 사용하는 옵션.
-vhot
가상 호스트를 사용
-update nikto
업데이트 체크
'프로젝트 관련 조사 > 모의 해킹' 카테고리의 다른 글
웹 취약점 진단을 위한 피들러 사용법 (0) | 2016.07.24 |
---|---|
취약점 점검 도구 (0) | 2016.07.23 |
[ Web Scanning Tool ] Nessus ( Ubuntu ) (0) | 2016.07.16 |
[ Web Scannng Tool ] Acunetix (0) | 2016.07.16 |
[Web Scanning Tool] Nessus (Ubuntu ) (0) | 2016.07.16 |