Hace tiempo utilicé esta herramienta para un test de vulnerabilidades en servidores web, y me pareció genial, por que me ayudó al menos hacer un vulnerability and risk assessment…
Nikto, es un software open source (GPL), el cual sirve para escanear servidores web con todo tipo de pruebas de ataques y vulnerabilidades por medio de un extensible sistema de plug-ins, que incluyen 3500 potencialmente peligrosas archivos/CGIs en versiones para más de 900 aplicaciones de servidores, y versiones específicas de problemas en más de 250 servidores.
Versión 2 añade un montón de mejoras, incluyendo:
- Fingerprinting en web servers via favicon.ico.
- 404 error checking por cada tipo de archivo.
- Mayor reducción de falso positivo a través de múltiples métodos: cabeceras, cuerpo de página de contenido y contenido de hashing.
- Exploración de ajuste para incluir o excluir clases enteras para prueba de vulnerabilidades.
- Utilización LibWhisker 2, que tiene su propia larga lista de mejoras.
- Un “único” modo de exploración que le permite la asistencia de una solicitud HTTP
manualmente.
- Motor de plantillas basicas HTML para que los informes, que pueden ser fácilmente
personalizados.
- Una base de conocimientos experimentales para escaneos, lo que permitirá
regenerar informes y pruebas a futuro.
- Optimizaciones, correcciones de errores y más …
Source & info:
http://www.cirt.net/code/nikto.shtml
Más adelante incluiré un post sobre mis conclusiones…
Tags: nikto, seguridad, servidores web, test vulnerabilidades, web server