Axiso

Installation de l’outil Nikto :

aptitude install nikto

Mise à jour de ses données de test :

nikto -update

Analyse du serveur Apache correspondant à un domaine :

nikto -h www.example.com

Après quelques instants, le résultat obtenu listera les alertes et informations relatives aux différents tests menés par Nikto sur le serveur :

---------------------------------------------------------------------------
- Nikto 2.02/2.03     -     cirt.net
+ Target IP:       111.222.333.444
+ Target Hostname: www.example.com
+ Target Port:     80
+ Start Time:      2009-11-11 11:11:11

+ Server: Apache/2.2.9 (Debian) PHP/5.2.11-0.dotdeb.1 with Suhosin-Patch
- Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details
+ OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons
+ OSVDB-3233: GET /icons/README : Apache default file found.
+ 2967 items checked: 5 item(s) reported on remote host
+ End Time:        2009-10-20 9:50:09 (10 seconds)

+ 1 host(s) tested

Les alertes présentées ici correspondent à celle d’un serveur Apache nouvellement installé et ne représentent pas de faille de sécurité directes.