1

Nikto : outil pour scanner la sécurité d’un serveur web

Nikto est un outil libre et open-source coder dans le langage Perl, qui permet de scanner un serveur web et d’afficher toutes les failles potentielles.
nikto
Nikto fait partie des outils embarqués dans la distribution Kali Linux.

Nikto : outil pour scanner la sécurité d’un serveur web

Lors du scan, Nikto est capable de :

  • Vérifier si la version du serveur est obsolète ainsi que les logiciels et modules qui sont utilisés par ce dernier,
  • Scanner les répertoires, qui peuvent contenir des informations sensibles,
  • Tester près de 6000 fichiers potentiellement vulnérables/CGI,
  • De plus, Nikto supporte les connections SSL.

Installation de Nikto

  • Archlinux / Manjaro :
  • yaourt -S nikto
    
  • Ubuntu / Linux Mint :/
  • sudo apt-get install nikto
    

Mettre à jour les pluggins de Nikto

Dès l’installation de Nikto est terminée, il faut mettre à jour les pluggins :

sudo nikto -update

Utilisation de Nikto

Utilisation courante

  • Pour lancer un simple scan :
  • nikto -h [URL]
    

    [URL]= l’url de votre choix. A savoir, par défaut Nikto scanne sur le port 80.

  • Scanner sur le port 443 :
  • nikto -h [URL] -p 443
    

    ou

    nikto -h https://[URL]:443/
    
  • Scanner sur plusieurs port à la fois :
  • nikto -h [URL] -p 20,21,25,443
    

Utilisation derrière un proxy:

pour pouvoir utiliser nikto derrière un proxy, il faut éditer son fichier de configuration :

  • Archlinux / Manjaro :
  • sudo nano /usr/share/nikto/nikto.conf
    
  • Pour Ubuntu /Linux Mint :
  • sudo nano /etc/nikto/config.conf 
    

Préciser le proxy

# Proxy settings -- still must be enabled by -useproxy
PROXYHOST=proxy.domaine.tld
PROXYPORT=8080
#PROXYUSER=proxyuserid
#PROXYPASS=proxypassword

PROXYHOST: l’url ou l’IP du serveur proxy
PROXYPORT: le port du proxy
PROXYUSER: l’utilisateur si besoin
PROXYPASS: le mot de passe de l’utilisateur si besoin

  • Utlisation de Nikto derrière un proxy :
  • nikto  -h [URL] -useproxy
    
  • Exemple un peu plus complexe:
  • nikto -h http://[URL]:443/ -F txt -o scan.txt -useproxy
    

Nikto ira scanner l’url sur le port 443 en passant par un proxy et envoyer le résultat dans le fichier scan.txt.

Conclusion

Nikto est un programme très pratique pour scanner les failles de sécurité de son serveur web et son exécution est assez rapide (suivant l’architecture matériel de l’hôte).
Par contre, attention aux petits malins qui voudraient utiliser Nikto pour scanner les sites web des copains(ou pas) pour leur faire une mauvaise farce en détectant une ou plusieurs failles de sécurités sur le site web, Nikto est repérable dans les logs et évidemment avec l’IP de celui qui scanne :-)

source: http://cirt.net/nikto2
doc: http://cirt.net/nikto2-docs/usage.html

Partager l'article :





fred

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à cacher, c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous prétexte qu'on a rien à dire." Edward Snowden

Un commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *