Nikto adalah pemindai server web Open Source yang melakukan pengujian komprehensif terhadap server web untuk beberapa item, termasuk lebih dari 6700 file / program berbahaya, memeriksa versi usang lebih dari 1.250 server, dan masalah khusus versi pada lebih dari 270 server.
Ini juga memeriksa item konfigurasi server seperti keberadaan beberapa file indeks, opsi server HTTP, dan akan berusaha mengidentifikasi server web dan perangkat lunak yang diinstal. Memindai item dan plugin sering diperbarui dan dapat diperbarui secara otomatis.
Ini juga memeriksa item konfigurasi server seperti keberadaan beberapa file indeks, opsi server HTTP, dan akan berusaha mengidentifikasi server web dan perangkat lunak yang diinstal. Memindai item dan plugin sering diperbarui dan dapat diperbarui secara otomatis.
Nikto tidak dirancang sebagai alat tersembunyi. Ini akan menguji server web dalam waktu secepat mungkin dan jelas dalam file log atau ke IPS / IDS. Namun, ada dukungan untuk metode anti-IDS LibWhisker jika Anda ingin mencobanya (atau menguji sistem IDS Anda).
Tidak setiap pemeriksaan merupakan masalah keamanan, meskipun sebagian besar memang demikian. Ada beberapa item yang bertipe "info only" yang mencari hal-hal yang mungkin tidak memiliki kelemahan keamanan, tetapi webmaster atau insinyur keamanan mungkin tidak tahu ada di server. Barang-barang ini biasanya ditandai dengan tepat dalam informasi yang dicetak. Ada juga beberapa pemeriksaan untuk item yang tidak diketahui yang telah terlihat dipindai dalam file log.
Fitur:
- Dukungan SSL (Unix dengan OpenSSL atau mungkin Windows dengan ActiveState
- Perl / NetSSL)
- Dukungan proxy HTTP penuh
- Memeriksa komponen server yang kedaluwarsa
- Simpan laporan dalam teks biasa, XML, HTML, NBE atau CSV
- Mesin templat untuk menyesuaikan laporan dengan mudah
- Memindai banyak port pada server, atau beberapa server melalui file input (termasuk output nmap)
- Teknik pengodean IDS LibWhisker
- Mudah diperbarui melalui baris perintah
- Mengidentifikasi perangkat lunak yang diinstal melalui header, favicon dan file
- Otentikasi host dengan Basic dan NTLM
- Menebak subdomain
- Enumerasi nama pengguna Apache dan cgiwrap
- Teknik mutasi untuk "memancing" konten di server web
- Pindai penyetelan untuk menyertakan atau mengecualikan seluruh kelas kerentanan
- memeriksa
- Tebak kredensial untuk ranah otorisasi (termasuk banyak kombo id / pw default)
- Tebakan otorisasi menangani direktori apa pun, bukan hanya root
- direktori
- Peningkatan reduksi positif palsu melalui beberapa metode: tajuk,
- konten halaman, dan hashing konten
- Laporan header "tidak biasa" terlihat
- Status interaktif, jeda, dan perubahan pada pengaturan verbosity
- Simpan permintaan / respons penuh untuk tes positif
- Putar ulang permintaan positif yang disimpan
- Waktu eksekusi maksimum per target
- Jeda otomatis pada waktu yang ditentukan
- Memeriksa situs "parkir" umum
- Masuk ke Metasploit
- Dokumentasi yang menyeluruh