Nikto est un outil pré-installé dans Kali Linux, elle permet de faire un audit rapide de son serveur Web. Dans ce billet je vais travailler sur un serveur WEB local hébergé dans une machine virtuelle sous Vmware. Dans le billet je vais auditer une configuration Apache2 classique.
Nikto vous permet de personnaliser vos requêtes avec des options comme l’utilisation de SSL, l’upload de fichier, ou encore utilisez un port différent du 80. Une sorte de grosse caisse à outil pour sécuriser votre Apache.
La procédure ci-dessous détails quelques commandes de bases, la liste ci-dessus vous permet d’avoir un rapide aperçu du potentiel pour pousser plus loin vos investigations.
Ici je lance un scan sur le serveur WEB 192.168.1.80, vous pouvez aussi spécifier un nom de domaine.
nikto -h localhost
Ici je lance un scan sur le serveur WEB 192.168.1.44 avec en supplément un fichier de sortie au format html (host_80.html) accessible dans le dossier courant.
iceweasel host_80.html
Comme le script vous indique, le mode mod_negotiation est activé et permet donc de lister via brute force l’index du serveur WEB, procédez ainsi en analysant le retour afin de corriger les failles.
Ce billet n’a pas pour objectif d’encourager au piratage mais bien uniquement dans un but informatif, afin d’aider ceux qui souhaite sécuriser leur installation.