Nikto Web Scanner est un scanner de serveur Web qui teste les serveurs Web à la recherche de fichiers / CGI dangereux, de logiciels de serveur obsolètes et d’autres problèmes (les options HTTP, les index, les failles XSS, injections SQL etc…). Il effectue des vérifications spécifiques aux types de serveur et génériques. Il capture et imprime également les cookies reçus. Wikipédia (anglais)
Installation
Cloner le depot officiel du projet :
git clone git@github.com:sullo/nikto.git cd nikto
Utilisation
Scan de port
./nikto.pl -h https://[URL]:443/ -F txt -o ScanResultat.txt
Par défaut, Nikto scanne le port 80 si vous ne signifiez rien dans la commande. ScanResult.txt est le contenant le résultat de votre analyse.
Vous pouvez scanner plusieurs port simultanément :
./nikto.pl -h [URL] -p 8080,80,443
Scan multihosts : Avec Nikto, c’est est possible de scanner une plage d’adresses IP de serveurs web. Envoi du résultat d’un scan nmap :
nmap -p80 192.168.0.0/24 -oG – | ./nikto.pl -h –
Nikto lire avec son entrée standard.
Scan verbeux et debug
Vous avez la possibiliét d’exécuter Nikto derrière un proxy, mais je crois que je vais vous laisser la doc pour plus d’information. Je reste disponible si vous avez des questions.
Plus d’infos
Le site officiel : http://cirt.net/nikto2
doc : http://cirt.net/nikto2-docs/usage.html
Quelques outils que vous pouvez aussi utiliser :
- Samurai, disponible à travers un ISO, il propose un ensemble d’outils pour détecter les failles sur votre application web. Lien : http://opensourceforu.com/2011/06/web-app-penetration-testing-with-samurai/
- Pa11y, permet de tester l’accessibilité de votre site. Il permet de détecter quels sont les liens morts et autres. Lien : https://bitsofco.de/pa11y/
Dites-moi vos impressions sinon quels sont les outils que vous utilisez pour scanner votre serveur ?
