有多种工具和应用程序可以发现网页中的安全漏洞，但最简单的工具之一是 nikto 。这个小而简单的工具检查网站并报告安全漏洞。尽管它非常有用且有效，但并非“偷偷摸摸”，但任何具有 IDS 或其他安全措施的网站都会检测到您正在扫描它。

1. 网站的一些基本安全规则

第 1 步： 在运行 Kali Linux 发行版的计算机上，访问 Kali Linux-> 漏洞分析-> 杂项扫描仪-> nikto .

虽然nikto有很多选项，但我们会使用以下基本语法：

nikto-h

第二步：扫描Web服务器（Web Server）

让我们从一个安全的 Web 服务器开始，在这个例子中是 http 服务。通过键入以下内容扫描漏洞：

nikto-h 192.168.1.104

1. 什么是 HTTPS？以及为什么您的网站需要它

Nikto给出了很多信息如下图：

首先，信息表明服务器是Apache 2.2.14，可能在Ubuntu上。它提供了有关此 Web 服务器上其他潜在安全漏洞的更多信息。请注意，页面底部是 OSVDB 安全漏洞。这是开源安全漏洞的数据库。

第三步：扫描网站

试试其他网站，在 webscantest.com 上试试。

nikto-h webscantest.com

它识别服务器 (Apache)，然后继续识别 OSVDB 预先确定的许多潜在安全漏洞。您可以访问 Osvdb.org 网站以了解有关这些漏洞的更多信息。

现在，使用此页面查找有关 nikto 识别的漏洞之一的信息，例如 OSVDB-877。

请注意，在此页面的下半部分，交叉引用了有关此漏洞的各种信息源，以及对 Nikto、Nessus 和 Snort 等工具和过滤器的引用.

扫描 WonderHowTo 页面

扫描其他几个网站，看看它提供了什么信息。在这里扫描页面，Wonderhowto.com。

nikto-h wonderhowto.com

Nikto 表示 WonderHowTo 正在使用微软的 IIS 8 作为 Web 服务器，然后列出了许多安全漏洞。但是，利用列出的漏洞会发现所有这些漏洞都是误报错误，因为 WonderHowTo 只是返回一个无害的 404 页面。这是因为 WonderHowTo 不是基于 php 或 asp 构建的。

可能会出现此类验证错误，因为扫描实际上并未执行 every 可能的漏洞，但仅扫描以查看服务器是否使用可利用的 URL 无错误地响应。 与否。

扫描 Facebook

最后，尝试扫描 Facebook。

nikto-h facebook.com

如您所见，Facebook 受到严密保护，几乎没有安全漏洞。