nikto是一款比较综合性的漏洞扫描工具。支持XSS SQL注入等常见的漏洞扫描,因其使用简单,扫描效率比较高。因而深受肾透者们的喜欢。
┌──(root㉿kali)-[~] └─# nikto -h
1:普通扫描 nikto -h 目标实例: nikto -h 172.16.108.254
2:扫描指定端口 nikto -h 172.16.108.254 -p 443
3:目录猜解 -C 指定CGI目录 –all表示猜解CGI目录 nikto -h 172.16.108.254 -C all
4:漏洞扫描 -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞
-T选项包含的小选项解释:
0检查文件上传页面
1 检查web日志
2检查错误配置或默认文件
3检查信息泄露问题
4 检查XSS/Script/HTML问题
5 从根目录检查是否存在可访问的文件
6检查拒绝服务问题
7从任意文件检索是否存在可访问文件
8 检查是否存在系统命令执行漏洞
9 检查SQL注入漏洞
-a 检查认证绕过问题
-b 识别安装的软件版本
-c 检查源代码泄露问题
-x 反向链接选项
如:扫描sql注入漏洞
nikto -h 172.16.108.254 -T 9
|