架設網站最重要的是資料保全,如果可以利用網路弱點掃描工具事先找出Web伺服器安全漏洞,並且立即加以防堵,就可以防範於未然。本文所介紹的Nikto就是一款相當值得推薦的掃描檢查軟體。
開放源碼的Nikto是一款好用的Web掃描工具,可進行全面的Web伺服器多個項目測試,包括3,500個潛在危險的文件/CGI檢測,搜集超過900
個有問題的伺服器版本以及250個特定的問題。
Nikto的掃描項目和外掛經常更新,而且程式本身也支援自動更新。本專案的訴求並非設計出一款隱蔽工具,而是盡可能在短時間內測試Web伺服器的安全問題。
本專案使用Perl程式語言撰寫,並提供方便擴充的介面,在Windows/Linux/BSD下皆可執行。
Nikto安裝說明
以下分別說明Nikto在Linux和Windows作業系統內的安裝方式。
Ubuntu/Debian(Linux)
由於常見的Linux distribution都會預先安裝Perl程式語言,所以在使用上僅需安裝Nikto即可。
只要在命令列模式輸入指令「sudo apt-get install nikto」即可安裝完成。安裝完成後,可在命令列模式下輸入指令「nikto」以檢查是否安裝成功。
Windows
由於Perl並不是Windows內建的程式語言,所以Perl必須自行安裝。Perl的官方網站(http://www.perl.org/get.html)提供Windows平台的使用者Strawberry Perl及ActiveState Perl兩種選擇(圖1)。
|
▲圖1 Perl提供各種作業系統的安裝檔。 |
在本分享中,筆者安裝的是Strawberry Perl。可以在其官方網站(http://strawberryperl.com/)上下載,如圖2所示。
|
▲圖2 選擇安裝Strawberry Perl。 |
Strawberry Perl下載完成後開始安裝,首先,如圖3所示在一開始的歡迎畫面中按下〔Next〕按鈕。
|
▲圖3 開始安裝Strawberry Perl。 |
只要照著安裝步驟操作,即可順利完成安裝。預設會將Perl安裝在「C:\strawberry」目錄下,並且自行將Perl環境設定完成,例如PATH等環境變數,方便使用者可以馬上使用。
接下來只需在Nikto官方網站上下載最新版本(目前是2.1.4版),並將檔案解壓縮至系統中即可,例如筆者將Nikto解壓縮至「C:\nikto-2.1.4」,如圖4所示。
|
▲圖4 將Nikto解壓縮至「C:\nikto-2.1.4」目錄。 |
此時要記得修改Nikto安裝目錄下的nikto.conf設定檔,否則Nikto不會正常運作(圖5)。
|
▲圖5 修改nikto.conf設定檔。 |
由於nikto.conf使用UNIX檔案格式,所以請使用UltraEdit或其他可正常顯示的編輯器開啟,否則會出現類似亂序的排版情形。若沒有安裝其他編輯器,預設的Windows環境中可以使用WordPad來編輯(圖6)。
|
▲圖6 使用Windows環境預設的WordPad編輯nikto.conf。 |