Escanear server con nikto

Clase 4 de 48Curso de Pentesting 2016

Clase anteriorSiguiente clase

Resumen

¿Qué es Nikto?

Nikto es una herramienta open source para analizar servicios web, a través de él podemos enviar las peticiones web en búsqueda de vulnerabilidades.

Procedimiento:

  • Verificamos que tengamos instalado nikto, ejecutando nikto, si no lo tienen instalado, ejecutamos apt-get install nikto para instalarlo.
  • Creamos un proyecto temporal para usar la versión gratuita.
  • Ejecutamos el comando nikto -h 192.168.57.8

Nikto utiliza un servicio llamado open source vulnerability database, que es una base abierta de fallas que se han encontrado de los servicios o podemos utilizar también exploitDB para buscar el exploit.

** Usar Nikto con Bursuite**

  • Abrimos Burpsuite y activamos proxy modo on
  • Ejecutamos nikto -h 192.168.57.8 -userproxy http://127.0.0.1:8080

Con esto podemos ver el tipo de peticiones que se están realizando con Nikto al servicio y podemos entender de esta forma como funciona el software.