Shikata Ga Nai

Private? There is no such things.

Web脆弱性スキャナNiktoをつかってみた

Hello there, ('ω')ノ

 

Niktoは人気のあるオープンソースのWeb脆弱性スキャナで。

Kali Linuxにもプリインストールされていて。

Webサイトのセキュリティ上の欠陥を識別して。

見つかった各問題の詳細な参照を提供することができて。

 

Niktoの機能の一つは以下のとおりで。

 Webサーバー上の古いコンポーネントの確認
 インストールされているアプリケーションの識別
 SSLサポート
 サブドメインの推測
 Apacheユーザー名の列挙


今回は、OWASP BWAを起動して脆弱性スキャンを実行することに。

当然のことながら、80番ポートはオープンなので。

クライアントとWebサーバー間のインバウンド/アウトバウンド通信は許可され。

 

下記のコマンドでスキャンすることに

 nikto -h <target>

 

f:id:ThisIsOne:20200418185731p:plain

 

Niktoは下記の問題を検出して。

 構成の欠落

 機密性の高いディレクトリ/ファイルへのアクセスの検出

 アプリケーションの古いバージョン

 

見つかった問題は。

オープンソース脆弱性データベース(OSVDB)参照IDに関連付けられていて。

OSVBDは、 Webアプリケーションのセキュリティの脆弱性情報のデータベースで。

 

f:id:ThisIsOne:20200418191404p:plain

 

Niktoでセキュリティ欠陥を特定して、OSVDB IDを取得したら。

下記サイトで、CVEエントリでOSVDB IDを参照できて。

 https://cve.mitre.org/data/refs/refmap/source-OSVDB.html

 

f:id:ThisIsOne:20200418192535p:plain

 

Best regards, (^^ゞ