如何使用Nikto漏洞扫描工具检测网站安全(2)

- Display
控制Nikto输出的显示
1.直接显示信息
2.显示的cookies信息
3.显示所有200/OK的反应
4.显示认证请求的URLs
5.Debug输出

-ssl
强制在端口上使用SSL模式

-Single
执行单个对目标服务的请求操作。

-timeout
每个请求的超时时间，默认为10秒

-Tuning
Tuning 选项控制Nikto使用不同的方式来扫描目标。
0．文件上传
1.日志文件
2.默认的文件
3.信息泄漏
4.注射（XSS/Script/HTML）
5.远程文件检索（Web 目录中）
6.拒绝服务
7.远程文件检索（服务器）
8.代码执行－远程shell
9.SQL注入
a.认证绕过
b.软件关联
g.属性（不要依懒banner的信息）
x.反向连接选项

-useproxy
使用指定代理扫描

-update
更新插件和数据库

例子：使用Nikto扫描目标主机10.0.0.12的phpwind论坛网站。

Perl nikto.pl –h 10.0.0.12 –o test.txt

查看test.txt文件，如下图所示：

 
通过上面的扫描结果，我们可以发现这个Phpwind论坛网站，是在windows操作系统上，使用Apache/2.2.4版本，Php/5.2.0版本，以及系统默认的配置文件和路径等。

综上所述，Nikto工具可以帮助我们对Web的安全进行审计，及时发现网站存在的安全漏洞，对网站的安全做进一步的扫描评估。