Installation de l’outil Nikto :
aptitude install niktoMise à jour de ses données de test :
nikto -updateAnalyse du serveur Apache correspondant à un domaine :
nikto -h www.example.comAprès quelques instants, le résultat obtenu listera les alertes et informations relatives aux différents tests menés par Nikto sur le serveur :
--------------------------------------------------------------------------- - Nikto 2.02/2.03 - cirt.net + Target IP: 111.222.333.444 + Target Hostname: www.example.com + Target Port: 80 + Start Time: 2009-11-11 11:11:11 + Server: Apache/2.2.9 (Debian) PHP/5.2.11-0.dotdeb.1 with Suhosin-Patch - Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE + OSVDB-877: HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST. + OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details + OSVDB-3268: GET /icons/ : Directory indexing is enabled: /icons + OSVDB-3233: GET /icons/README : Apache default file found. + 2967 items checked: 5 item(s) reported on remote host + End Time: 2009-10-20 9:50:09 (10 seconds) + 1 host(s) tested
Les alertes présentées ici correspondent à celle d’un serveur Apache nouvellement installé et ne représentent pas de faille de sécurité directes.