- 10 Ağu 2019
- 123
- 26
Herkese merhabalar. Ben TSRooT.
Bugün size bir zafiyet tarama aracını tanıtacağım.
NİKTO
Nikto, Perl dilinde yazılmış, 2001 yılında piyasaya sürülmüş Kali Linux'ta bulunan bir web sunucusu tarama aracıdır. Bu araç kolay kullanımı ve ücretsiz olması sebebiyle güvenlik uzmanlarının tercih ettiği araçlardan birisidir. Bu araç sayesinde önmeli zâfiyetleri tespit ederek güvenlik önlemlerinizi alabilirsiniz. Kali linux'ta kurulu olarak gelmektedir.
Nasıl Kurulur?
Komutu ile kurulumunuzu kolayca gerçekleştirebilirsiniz.
Nasıl kullanılır?
Terminale "nikto -h" yazarak kullanılabilir parametreleri görüntülüyelim.
-sor+
> evet Her birini sor (varsayılan)
> hayır sorma, gönderme
-Cgidirler+
> "yok", "tümü" veya "/cgi/ /cgi-a/" gibi değerler
-yapılandırma+
> Bu yapılandırma dosyasını kullanın
-Ekran+
> 1 Yönlendirmeleri göster
> 2 Alınan çerezleri göster
> 3 200/OK yanıtlarının tümünü göster
> 4 Kimlik doğrulama gerektiren URL'leri göster
> D Hata ayıklama çıkışı
> E Tüm HTTP hatalarını görüntüle P İlerlemeyi
> STDOUT'a yazdır
> S IP'lerin ve ana bilgisayar adlarının Scrub
çıktısı V Ayrıntılı çıktı
-dbcheck
> Sözdizimi hataları için veritabanını ve diğer
anahtar dosyaları kontrol edin
-kaçınma+
> 1 Rastgele URI kodlaması (UTF8 olmayan)
> 2 Dizin öz referansı (/./)
> 3 Erken URL bitişi
> 4 Uzun rastgele dizenin başına ekle
> 5 Sahte parametre İstek aralayıcı olarak
> 6 TAB
> 7 URL'nin büyük/küçük harf durumunu değiştirin
> 8 Windows dizin ayırıcısını kullanın (\)
> A İstek aralayıcı olarak satırbaşı (0x0d) kullanın
> B İstek ayırıcı olarak 0x0b ikili değerini kullanın
-Biçim+
> csv Virgülle ayrılmış değer htm HTML Formatı msf+ Metasploit'e giriş yapın nbe Nessus NBE formatı txt Düz metin xmlXML Formatı (belirtilmemişse format -output'a iletilen dosya uzantısından alınacaktır)
-Yardım
> Genişletilmiş yardım bilgileri
-ana bilgisayar+
> Hedef ana bilgisayar
-IgnoreCode
> Kodları Yoksay - olumsuz yanıtlar olarak değerlendir
-id+
> Kullanılacak ana makine kimlik doğrulaması; biçim id: pass veya id: pass:realm şeklindedir
-anahtar+
> İstemci sertifikası anahtar dosyası -liste-eklentileri
>Mevcut tüm eklentileri listeleyin, test yapmayın
-maxtime+
> Ana bilgisayar başına maksimum test süresi
mutasyon geçir +
> 1 Tüm dosyaları tüm kök dizinlerle test edin
> 2 Şifre dosyası adlarını tahmin edin
> 3 Kullanıcı adlarını Apache aracılığıyla numaralandırın (/~kullanıcı türü istekleri)
> 4 Kullanıcı adlarını cgiwrap aracılığıyla numaralandırın (/cgi-bin/cgiwrap/~kullanıcı türü istekleri)
> 5 Alt alan adlarına kaba kuvvet uygulamayı deneyin; ana bilgisayar adının ana alan adı olduğunu varsayalım
> 6 Sağlanan sözlük dosyasından dizin adlarını tahmin etmeye çalışın
mutasyon seçenekleri
> Mutasyonlar için bilgi sağlayın
-etkileşimli değil
> Etkileşimli özellikleri devre dışı bırakır
-arama yok
> DNS aramalarını devre dışı bırakır
-nossl
> SSL kullanımını devre dışı bırakır
-no404
> Nikto'nun 404 sayfasını tahmin etmeye çalışmasını devre dışı bırakır
-çıkış+
> Çıktıyı bu dosyaya yazın (otomatik ad için '.')
-Duraklat+
> Testler arasında duraklama (saniye, tamsayı veya kayan nokta)
-Eklentiler+
> Çalıştırılacak eklentilerin listesi (varsayılan: TÜMÜ)
-bağlantı noktası+
> Kullanılacak bağlantı noktası (varsayılan 80)
-RSAcert+
> İstemci sertifikası dosyası
Örnek Taramalar
nikto -h http://hedefsite.com
Belirttiğiniz bir hedefi tarar
nikto -h http://hedefsite.com -Tuning 6
Belirli bir tarama ayarlama düzeyi
nikto -h http://hedefsite.com -port 8000
Hedefte belirli bir portu tarar
nikto -h http://hedefsite.com -ssl
Ssl güvenlik açıklarını tarar
nikto -h http://hedefsite.com -Format html
HTML'de çıktı formatları
nikto -h http://hedefsite.com -output out.txt
Çıktıyı bir dosyaya kaydeder
Bugün size bir zafiyet tarama aracını tanıtacağım.
NİKTO
Nikto, Perl dilinde yazılmış, 2001 yılında piyasaya sürülmüş Kali Linux'ta bulunan bir web sunucusu tarama aracıdır. Bu araç kolay kullanımı ve ücretsiz olması sebebiyle güvenlik uzmanlarının tercih ettiği araçlardan birisidir. Bu araç sayesinde önmeli zâfiyetleri tespit ederek güvenlik önlemlerinizi alabilirsiniz. Kali linux'ta kurulu olarak gelmektedir.
Nasıl Kurulur?
sudo apt–get install nikto
Komutu ile kurulumunuzu kolayca gerçekleştirebilirsiniz.
Nasıl kullanılır?
Terminale "nikto -h" yazarak kullanılabilir parametreleri görüntülüyelim.
-sor+
> evet Her birini sor (varsayılan)
> hayır sorma, gönderme
-Cgidirler+
> "yok", "tümü" veya "/cgi/ /cgi-a/" gibi değerler
-yapılandırma+
> Bu yapılandırma dosyasını kullanın
-Ekran+
> 1 Yönlendirmeleri göster
> 2 Alınan çerezleri göster
> 3 200/OK yanıtlarının tümünü göster
> 4 Kimlik doğrulama gerektiren URL'leri göster
> D Hata ayıklama çıkışı
> E Tüm HTTP hatalarını görüntüle P İlerlemeyi
> STDOUT'a yazdır
> S IP'lerin ve ana bilgisayar adlarının Scrub
çıktısı V Ayrıntılı çıktı
-dbcheck
> Sözdizimi hataları için veritabanını ve diğer
anahtar dosyaları kontrol edin
-kaçınma+
> 1 Rastgele URI kodlaması (UTF8 olmayan)
> 2 Dizin öz referansı (/./)
> 3 Erken URL bitişi
> 4 Uzun rastgele dizenin başına ekle
> 5 Sahte parametre İstek aralayıcı olarak
> 6 TAB
> 7 URL'nin büyük/küçük harf durumunu değiştirin
> 8 Windows dizin ayırıcısını kullanın (\)
> A İstek aralayıcı olarak satırbaşı (0x0d) kullanın
> B İstek ayırıcı olarak 0x0b ikili değerini kullanın
-Biçim+
> csv Virgülle ayrılmış değer htm HTML Formatı msf+ Metasploit'e giriş yapın nbe Nessus NBE formatı txt Düz metin xmlXML Formatı (belirtilmemişse format -output'a iletilen dosya uzantısından alınacaktır)
-Yardım
> Genişletilmiş yardım bilgileri
-ana bilgisayar+
> Hedef ana bilgisayar
-IgnoreCode
> Kodları Yoksay - olumsuz yanıtlar olarak değerlendir
-id+
> Kullanılacak ana makine kimlik doğrulaması; biçim id: pass veya id: pass:realm şeklindedir
-anahtar+
> İstemci sertifikası anahtar dosyası -liste-eklentileri
>Mevcut tüm eklentileri listeleyin, test yapmayın
-maxtime+
> Ana bilgisayar başına maksimum test süresi
mutasyon geçir +
> 1 Tüm dosyaları tüm kök dizinlerle test edin
> 2 Şifre dosyası adlarını tahmin edin
> 3 Kullanıcı adlarını Apache aracılığıyla numaralandırın (/~kullanıcı türü istekleri)
> 4 Kullanıcı adlarını cgiwrap aracılığıyla numaralandırın (/cgi-bin/cgiwrap/~kullanıcı türü istekleri)
> 5 Alt alan adlarına kaba kuvvet uygulamayı deneyin; ana bilgisayar adının ana alan adı olduğunu varsayalım
> 6 Sağlanan sözlük dosyasından dizin adlarını tahmin etmeye çalışın
mutasyon seçenekleri
> Mutasyonlar için bilgi sağlayın
-etkileşimli değil
> Etkileşimli özellikleri devre dışı bırakır
-arama yok
> DNS aramalarını devre dışı bırakır
-nossl
> SSL kullanımını devre dışı bırakır
-no404
> Nikto'nun 404 sayfasını tahmin etmeye çalışmasını devre dışı bırakır
-çıkış+
> Çıktıyı bu dosyaya yazın (otomatik ad için '.')
-Duraklat+
> Testler arasında duraklama (saniye, tamsayı veya kayan nokta)
-Eklentiler+
> Çalıştırılacak eklentilerin listesi (varsayılan: TÜMÜ)
-bağlantı noktası+
> Kullanılacak bağlantı noktası (varsayılan 80)
-RSAcert+
> İstemci sertifikası dosyası
Örnek Taramalar
nikto -h http://hedefsite.com
Belirttiğiniz bir hedefi tarar
nikto -h http://hedefsite.com -Tuning 6
Belirli bir tarama ayarlama düzeyi
nikto -h http://hedefsite.com -port 8000
Hedefte belirli bir portu tarar
nikto -h http://hedefsite.com -ssl
Ssl güvenlik açıklarını tarar
nikto -h http://hedefsite.com -Format html
HTML'de çıktı formatları
nikto -h http://hedefsite.com -output out.txt
Çıktıyı bir dosyaya kaydeder
Konum bu kadar aklınıza takılan ufak birşey bile olursa sormaktan çekinmeyin lütfen
Teşekkür Ederim
Teşekkür Ederim