hapidzfadli: Vulnerabilities WEB
News Update
Loading...
Tampilkan postingan dengan label Vulnerabilities WEB. Tampilkan semua postingan
Tampilkan postingan dengan label Vulnerabilities WEB. Tampilkan semua postingan

Kamis, 11 Februari 2021

Bagaimana Cara Menggunakan Nikto Scanner Untuk Menemukan Vulnerabilities WEB

Bagaimana Cara Menggunakan Nikto Scanner Untuk Menemukan Vulnerabilities WEB

Netsparker Web Application Security Scanner - satu-satunya solusi yang memberikan verifikasi otomatis dari kerentanan dengan Proof-Based Scanning ™.

Ada sejumlah pemindai kerentanan online untuk menguji aplikasi web Anda di Internet. Namun, jika Anda ingin menguji aplikasi Intranet atau aplikasi internal, Anda dapat menggunakan pemindai web Nikto.

Nikto adalah pemindai sumber terbuka dan Anda dapat menggunakannya dengan server web apa pun (Apache, Nginx, IHS, OHS, Litespeed, dll.). Kedengarannya seperti alat internal yang sempurna untuk pemindaian server web. Ia mampu memindai lebih dari 6700 item untuk mendeteksi kesalahan konfigurasi, file berisiko, dll. Dan beberapa fitur termasuk;

  • Anda dapat menyimpan laporan dalam HTML, XML, CSV
  • Ini mendukung SSL
  • Pindai beberapa port di server
  • Temukan subdomain
  • Apache user enumeration
  • Memeriksa komponen yang outdated 
  • Deteksi parking sites

Mari kita mulai dengan penginstalan dan cara menggunakan alat ini.

Ada banyak cara untuk menggunakan Nikto.

  • Menggunakan Kali Linux
  • Kontainer Docker
  • Gunakan biner pada distro berbasis UNIX atau Windows.

Catatan: melakukan pemindaian membuat banyak permintaan ke server web Anda. Anda mengakui risikonya dan bekerja hanya terhadap server Anda.

Menggunakan Nikto di Kali Linux

Karena sudah ada di dalam Kali, Anda tidak perlu menginstal apa pun.

  • Masuk ke Kali Linux
  • Buka Aplikasi >> Analisis Kerentanan dan klik nikto


Ini akan membuka terminal tempat Anda dapat menjalankan pemindaian terhadap server web Anda. Ada beberapa sintaks yang dapat Anda gunakan untuk menjalankan pemindaian. Namun, cara tercepat untuk melakukannya adalah di bawah ini.

# nikto –h $webserverurl

Jangan lupa untuk mengubah $ webserverurl dengan IP atau FQDN server web Anda yang sebenarnya.
root@Chandan:~# nikto -h thewebchecker.com
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:                  128.199.222.244
+ Target Hostname:     thewebchecker.com
+ Target Port:              80
+ Start Time:                2016-08-22 06:33:13 (GMT8)
---------------------------------------------------------------------------
+ Server: Apache/2.4.18 (Ubuntu)
+ Server leaks inodes via ETags, header found with file /, fields: 0x2c39 0x53a938fc104ed
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS
+ Uncommon header 'x-ob_mode' found, with contents: 1
+ OSVDB-3092: /manual/: Web server manual found.
+ OSVDB-3268: /manual/images/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ /phpmyadmin/: phpMyAdmin directory found
+ 7596 requests: 0 error(s) and 10 item(s) reported on remote host
+ End Time:                  2016-08-22 06:54:44 (GMT8) (1291 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Seperti yang Anda lihat, pemindaian di atas bertentangan dengan konfigurasi default Apache 2.4, dan ada banyak item yang perlu diperhatikan.

  • Clickjacking Attack
  • MIME Type Security

Menggunakan Nikto di CentOS

  • Login ke CentOS atau OS berbasis Linux
  • Unduh versi terbaru dari Github menggunakan wget
  • wget https://github.com/sullo/nikto/archive/master.zip .
  • Ekstrak menggunakan perintah unzip
  • unzip master.zip
  • Ini akan membuat folder baru bernama "nikto-master"
  • Masuk ke dalam folder nikto-master> program
  • cd nikto-master/program
  • Jalankan nikto.pldengan domain target

Setelah terinstal jalankan nikto dan seharusnya baik-baik saja. Kali ini, saya akan menjalankan pemindaian terhadap server web Nginx untuk melihat bagaimana kinerjanya.
./nikto.pl -h $IPADDRESS

[root@lab program]# ./nikto.pl -h XX.XX.137.171
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          XX.XX.137.171
+ Target Hostname:    XX.XX.137.171
+ Target Port:        80
+ Start Time:         2020-06-07 07:39:40 (GMT0)
---------------------------------------------------------------------------
+ Server: nginx/1.14.1
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /httpd.conf: Apache httpd.conf configuration file
+ /httpd.conf.bak: Apache httpd.conf configuration file
+ 8075 requests: 0 error(s) and 5 item(s) reported on remote host
+ End Time:           2020-06-07 07:39:50 (GMT0) (10 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
[root@lab program]#

Jadi seperti yang Anda lihat Nginx default, konfigurasi server web juga rentan dan panduan keamanan ini akan membantu Anda untuk menguranginya.




Featured

[Featured][recentbylabel2]

Featured

[Featured][recentbylabel2]
Notification
This is just an example, you can fill it later with your own note.
Done