Nikto2 Version 2.1.4 VS w3af Version 1.1

Iniciado por Comandante Linux, Julio 15, 2011, 10:45:53 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 15, 2011, 10:45:53 AM Ultima modificación: Noviembre 09, 2014, 03:35:59 PM por ANTRAX
Bueno estas son algunas opciones para escanear web en sistemas GNU/Linux, para los dos tipos de gusto mediante terminal o mediante interfaz grafica.

Nikto2



Nikto2 Version 2.1.4 + Ubuntu 11.04

Importante:


El mal uso de esta herramienta puede generar situaciones de bloqueo, lentitud en su velocidad de conexión e incuso denegación de servicio

Introducción:

Nikto está escrito por Chris Sullo y David Lodge.


Es un programa de código abierto (GPL) para escanear servidores web.

Esta realizado en Perl. Es utilizado tanto para seguridad como para buscar vulnerabilidades en servidores.

La version actual es la 2.1.4.

    Incluye más de 6400 archivos potencialmente peligrosos / CGI.
    Los controles de versiones no actualizadas de más de 1000 servidores.
    Los problemas de la versión específica de más de 270 servidores.

Los controles de los elementos de configuración del servidor


    La presencia de múltiples archivos de índice.
    Las opciones de servidor HTTP y tratará de identificar a instalar servidores web y de software. 
    Elementos de escaneo y los plugins se actualizan con frecuencia y puede ser actualizado automáticamente.


Web Oficial(Ingles): No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Requisitos:

    Perl: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    LibWhisker: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    ActiveState Perl: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/
    OpenSSL: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    Perl modules RPC::XML::Client and RPC::XML for Metasploit logging integration



w3af



Bueno a primera vista observamos que Nikto es como se dice de la vieja escuela mediante consola todo, mientras que w3af posee una interfaz gráfica (ademas tiene una interfaz por consola).

Analizar una web con Nikto2 vs w3af

Las opciones de Nikto son mediante comandos por consola pueden ver la lista completa acá No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, ahora w3af nos ofrece otras muy interesantes como OWASP_TOP10  ;D.



Resultados obtenidos con Nikto2 vs w3af:

Nikto devuelve el resultado de la siguiente forma

   
Código: php
 - Nikto v2.1.4/2.1.5

    + Target Host:

    + Target Port: 80

    + GET /: Retrieved x-powered-by header: PHP/4.4.9

    + GET /robots.txt: robots.txt contains 12 entries which should be manually viewed.

    + GET /: ETag header found on server, inode: 11387234, size: 266, mtime: 0x40fc5e5031100

    + GET /: Multiple index files found: index.php, default.htm, index.html,

    + DEBUG /: DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.

    + OSVDB-877: GET /: HTTP TRACE method is active, suggesting the host is vulnerable to XST

     ................


Mediante consola o podemos pedir que nos guarde el resultado en un .txt (lo cual es lo que hago yo)

Ahora w3af



La misma web analizada nos muestra algo mas diferente los resultados divididas por categorías las posibles vulnerabilidades resaltadas en amarillo.

Como utilizar las vulnerabilidades que nos ofrece Nikto vs w3af


Nikto nos devuelve solamente las posibles vulnerabilidades para aprovechar, después uno va a tener que recurrir a sus conocimientos o a su santo San Google para averiguar como aprovecharlos. Mientras que w3af nos ofrece una pestaña que dice Exploit.

Por ultimo a la hora de utilizar alguno de los dos es como todo, "sobre gusto no hay nada escrito", para los que les gusta utilizar consola tienen Nikto y para los que no le gusta mucho utilizar mucho la terminal poseen w3af, dentro de otras cosas que se pudieron observar.

El Manual Oficial de w3af se puede descargar (Ingles)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta