江湖秘笈：安全工具开发者你如此懈怠真的好吗？安全评估工作者等你更新Nikto2等的都要造反了

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。不知各位看官们是否都在为今天两会期间保障网络安全维稳工作顺利结束而庆祝呢？

同样作为值守的人员，2 cats大侠我在这里要向各位同行们说声辛苦啦。

不过两会虽然结束了，可是不代表我们的网络安全保障工作就此结束。因为在未来的无限时间中，时间将会对我们是否认真和努力的工作作出考验。要知道网络安全一刻都无法松懈，更不要说说是丝毫的马虎了。

感谢有你……

作为进入安全领域的一名半老司机，有幸在机缘巧合的机会开启了这个分享技术内容的栏目。初心很简单，就是在技术圈里把自己看到、学到、经历到的分享出来。

到今天，已经坚持天天分享技术内容近一年的时间，期间有过多次的内容调整，也有过很多看官来信询问和支持。

这说明，本公众号的开办还是有价值的，我会继续努力，多多分享各种内容，希望对各位关注的兄弟提供帮助。

不失初心，不忘初衷！

好啦，在说过一段家常之后，开始进入到我们今天的技术分享环节中来。

由于今天要分享的技术内容较多，因此2 cats大侠我决定将内容分为三天来进行说明，希望各位看官们能够喜欢。

强大的多平台扫描软件Nikto2

老规矩，先说明工具的名字，它便是红遍安全评估工作界的一款明星工具Nikto2。

Nikto2是什么？

Nikto2是一款使用perl语言编写的多平台扫描软件，采用命令模式进行操作。

由开放安全基金会（Open Security Foundation）的财务总监Chris Sullo制作而成，工具中包含超过3300种潜在危险文件/CG IS、超过625中服务器版本、230中特定服务器问题等。

Nikto2的强大功能

能够扫描指定主机的Web类型、主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、Sql注入漏洞、返回主机允许的HTTP方法等安全问题。

从如此众多的特性及功能来看，Nikto2值得称为一款明星级Web评估工具了，不然也不会成为Web安全评估人员所青睐的利器。

工具下载官网地址：http://www.cirt.net，如果各位没有接触过它的看官可以通过这个地址进行接触。

好啦，进入正题，使用方法演示环节。

工具演示

1

命令：/pentest/web/nikto# ./nikto.pl –h

通过开启帮助界面命令，让我们先来一同了解下Nikto2都存在哪些参数及特性。

长长的一个参数列表页，由于内容太多，未能全部截取，具体还请有兴趣的看官们自行翻看。

2

我们先来说下这款工具的升级命令。

由于开发该工具的作者工作比较忙，且较懒（2 cats大侠臆想的，非真实）的原因，该工具升级频率较低，可能会存在无法及时补充全新漏洞特征的缺陷。

不过这并没有什么太大影响，因为Nikto2可支持插件功能，也算是对升级慢的一种挽救措施吧。

3

命令：/pentest/web/nikto# ./nikto.pl –update

这条命令主要应用于升级工具数据库及相关插件补充使用。

-h选项则为指定扫描目标，命令用法如下：

命令：/pentest/web/nikto# ./nikto.pl -h 192.168.35.1

4

-p选项指定扫描端口，默认情况下Nikto2会对80端口进行扫描，此时看官们可以使用-p参数配合，指定要扫描的端口，不同端口间使用“，”隔开。

命令：/pentest/web/nikto# ./nikto.pl -h 192.168.35.1 -p 80,81,82

5

-f选项，只进行发现工作，不深入扫描Web。该参数只进行HTTP及HTTPS的发现，不进行深入扫描，主要是前期HTTP及HTTPS发现工作。

命令：/pentest/web/nikto# ./nikto.pl -f -h 192.168.35.1

好啦，今天针对Nikto2工具的介绍就到此为止，后天的时候我们将会继续开启第二部分内容的介绍，各位看官们不要迟到哦。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！