Auditer son serveur apache avec Nikto sous Kali Linux

kali linux

Nikto est un outil pré-installé dans Kali Linux, elle permet de faire un audit rapide de son serveur Web. Dans ce billet je vais travailler sur un serveur WEB local hébergé dans une machine virtuelle sous Vmware. Dans le billet je vais auditer une configuration Apache2 classique.

Nikto vous permet de personnaliser vos requêtes avec des options comme l’utilisation de SSL, l’upload de fichier, ou encore utilisez un port différent du 80. Une sorte de grosse caisse à outil pour sécuriser votre Apache.

0 nikto commandes disponibles

La procédure ci-dessous détails quelques commandes de bases, la liste ci-dessus vous permet d’avoir un rapide aperçu du potentiel pour pousser plus loin vos investigations.

Ici je lance un scan sur le serveur WEB 192.168.1.80, vous pouvez aussi spécifier un nom de domaine.

1
2
3
nikto -h 192.168.1.80

nikto -h localhost

1 nikto analyse de un host clean

Ici je lance un scan sur le serveur WEB 192.168.1.44 avec en supplément un fichier de sortie au format html (host_80.html) accessible dans le dossier courant.

1
2
nikto -h 192.168.1.80 -o host_80.html
iceweasel host_80.html

2 nikto analyse host avec fichier de sortie html

3 nikto analyse de un host potentiellement vulnerable

Comme le script vous indique, le mode mod_negotiation est activé et permet donc de lister via brute force l’index du serveur WEB, procédez ainsi en analysant le retour afin de corriger les failles.

1
 Apache mod_negotiation is enabled with MultiViews, which allows attackers to easily brute force file names. See http://www.wisec.it/sectou.php?id=4698ebdc59d15. The following alternatives for 'index' were found: index.php

Ce billet n’a pas pour objectif d’encourager au piratage mais bien uniquement dans un but informatif, afin d’aider ceux qui souhaite sécuriser leur installation.

Laisser un commentaire

Assemblé dans la station orbitale WordPress