تست نفوذ و بررسی امنیت سایت با نیکتو بسیار آسان و کاربردی می باشد.هکرها همواره به دنبال روشی برای نفوذ و آسیب رساندن به سایت ها می باشند به همین دلیل صاحبان وب سایت باید اقدامات امنیتی لازم را در برابر حمله ی هکرها انجام دهند.
برای انجام اقدامات پیشگیرانه ابتدا باید بتوان ضعف های امنیتی وب سایت را شناخت به همین منظور ابزارهای مختلفی جهت تست امنیت در اختیار کاربران قرار گرفته است و ما تصمیم داریم در این مقاله به معرفی یکی از این ابزارها با نام نیکتو (Nikto) بپردازیم.
برای یادگیری آموزش های کامپیوتری و آشنایی با جدیدترین ترفندهای دنیای دیجیتال می توانید به سایت آموزشی رایانه کمک مراجعه نمایید.
آنچه مطالعه میکنید:
✅Nikto یا نیکتو چیست؟
✅مهم ترین ویژگی های Nikto بهترین اسکنر امنیت سایت
✅کدهای دستوری نیکتو برای بررسی میزان امنیت وب سایت هدف
✅اجرای برنامه نیکتو در محیط لینوکس
✅اجرای برنامه نیکتو در ویندوز 7،8، 10 و11
✅اسکن وب سایت SSL با برنامه نیکتو
✅اسکن وب سایت با نشانی IP
✅دستور nmap
✅اسکن وب سایت HTTP
✅خروجی گرفتن از نیکتو جهت استفاده در Metasploit
✅تست امنیت سایت چیست؟
✅آیا امنیت سایت به صورت 100 درصد امکان پذیر است؟
✅آیا وبسایت های دیگری برای اسکن سایت وجود دارد؟
✅سخن آخر:
Nikto یا نیکتو چیست؟
نیکتو متن باز بوده و به زبان Perl (پرل) نوشته شده است، از این اسکنر ساده در جهت بررسی وب سایت ها و گزارش آسیب پذیری ها استفاده می شود، این ابزار از جمله پرکاربردترین ابزارهای پیدا کردن آسیب پذیری وب سایت بوده که قادر است تمامی مشکلاتی که ممکن است وب سایت شما در معرض هک شدن قرار گیرد را مشخص نماید.
برنامه ها و ابزارهای گوناگونی جهت تست نفوذ و پیدا کردن آسیب پذیری های وب سایت ها وجود دارند اما نیکتو هنوز به عنوان یکی از ابزارهای ساده و قدیمی محبوبیت خود را از دست نداده است. این ابزار با بررسی وب سایت ها می تواند گزارشی از آسیب پذیری هایی را که احتمالا می تواند هدف هکرها باشد مشخص و ارائه دهد.
به طور کلی نیکتو با بررسی فایل ها و سرویس های موجود بر روی وب سرور آن ها را از نظر آسیب پذیری بررسی می کند.
تنها ضعف نیکتو عدم نفوذ مخفیانه ی آن است چرا که نیکتو به منظور تست امنیت ارائه شده است نه برای هک وب سایت ها! پس به یاد داشته باشید Nikto هویت شما را حفظ نکرده و امکان مشخص شدن هویت شما وجود دارد. بهتر است از VPN با هدف تغییر آی پی برای جلوگیری از شناسایی هویت استفاده نمایید.
مهم ترین ویژگی های Nikto بهترین اسکنر امنیت سایت
ابزاری منبع باز (Open Source) و رایگان است.
قابلیت نصب بر روی ویندوز و لینوکس
قابلیت شناسایی برنامه های ناامن
قابلیت شناسایی افزونه هایی که پیکربندی اشتباهی دارند.
اسکن از طریق پروکسی
اسکن چند پورت در سرور با چند وب سرور در حال اجرا
قابل استفاده برای اسکن وب سرورهای مختلف از جمله Nginx ، Litespeed، Apache و …
کدهای دستوری نیکتو برای بررسی میزان امنیت وب سایت هدف
به جهت استفاده از این ابزار برای اسکن وب سرور باید دستور nikto –h یا host را با نام دامنه یا آدرس IP وب سایت هدف به طریق ذیل در ترمینال وارد نمایید.
Nikto -h OR -host <IP Address>
Nikto -h OR -host <Domain Name>
لازم به ذکر است با استفاده از دستور -Help (H باید به صورت بزرگ نوشته شود) می توان لیستی از دستورات و سوئیچ ها که با نیکتو می توان اجرا کرد را مشاهده نمایید.
به عنوا مثال اگر می خواهید از سایت هدف کوکی های دریافتی را مشاهده نمایید باید کد ذیل را وارد کرده و اینتر بزنید:
Nikto –h OR -host <IP Address> / -Display 2
لازم به ذکر است در صورتی که آدرس به درستی وارد نشده باشد نیکتو ارور آی پی را به شما نمایش خواهد داد.
✴️✴️ تماس با پشتیبان رایانه کمک برای عیب یابی و رفع مشکلات شبکه کامپیوتر و لپ تاپ: ☎️از طریق تلفن ثابت 9099071540 و 📱 از طریق موبایل 0217129
اجرای برنامه نیکتو در محیط لینوکس
اگر از کالی لینوکس استفاده می کنید بهتر است ابتدا به سراغ لیست برنامه های پیش فرض نصب شده بروید معمولا نیکتو به صورت پیش فرض بر روی kali نصب شده و برای همین نیازی به دانلود و نصب نخواهد بود.
Application را انتخاب نمایید و در لیست برنامه ها بر روی Vulnerability Analysis کلیک نمایید سپس از سمت راست Nikto را انتخاب کنید.
علاوه بر این می توانید با انتخاب کلیدهای CTRL + ALT + T عبارت Nikto را وارد کرده تا این ابزار برای شما اجرا شود.
اجرای برنامه نیکتو در ویندوز 7،8، 10 و11
برای باز کردن نیکتو در محیط ویندوز می توانید از سایت گیت هاب نیکتو اقدام به دانلود این ابزار نمایید.
اجرای نیکتو در محیط مک
در صورتی که از سیستم عامل مک استفاده می کنید می توانید ازHomebrew برای دانلود نیکتو کمک بگیرید.
با Nikto می توان فعالیت های وب سایت های HTTP , HTTPS , HTTPD را بررسی و در جهت بهینه سازی آنها اقدام کرد.
اسکن وب سایت SSL با برنامه نیکتو
به عنوان مثال با اسکن وب سایت pbs.org در نیکتو توانستیم اطلاعاتی از قبیل نوع وب سرور ، هدر، cipher، Target port ،Target ip و باگ های xss را شناسایی نماییم.
اسکن وب سایت با نشانی IP
در ابتدا باید نشانی آی پی را به کمک دستور ifconfig مشخص نمایید.
حال با کمک دستوری که در ادامه آورده شده است، محدوده شبکه را مشخص کنید.
Apt install ipcalc
دستور nmap برای بررسی میزان امنیت سایت
برای پیدا کردن سرویس هایی که در محدوده ی شبکه در حال اجرا می باشد پیشنهاد تیم فنی نیودانش دستور Nmap می باشد.
برای این کار باید دستور ذیل اجرا شود:
Nmap –p 80 (محدوده شبکه) -OG
در آخر نیز می توانید تمامی اطلاعات را در یک فایل ذخیره نمایید، به عنوان مثال ما اطلاعات را در فایلی با نام text ذخیره کرده ایم.
Nmap –p 80 (محدوده شبکه) -OG test.txt
اسکن وب سایت HTTP
در این مرحله تصمیم داریم یک وب سایت ناامن را با پورت ۸۰ اسکن نماییم. این وب سایت به ssl متصل نمی باشد.
در خروجی نیکتو هدرها و دایرکتوری هایی مشخص شده اند که ممکن است پیکربندی نادرستی داشته باشند، تمامی مواردی که با پیشوند OSVDB نمایش داده شده اند از جمله آسیب پذیر هایی هستند که نیکتو از وب سایت afl.com.auگزارش داده است.
خروجی گرفتن از نیکتو جهت استفاده در Metasploit
یکی از مهمترین مزیت های نیکتو امکان خروجی گرفتن از اطلاعات با فرمت های مختلف می باشد به طوری که با وارد کردن -Format msf+ در انتهای کد دستوری می توان بعد از اکسپورت گرفتن از داده ها آن ها را در اختیار اسکنر Metasploit (متا اسپلوییت) قرار داد.
Nikto –h OR -host <IP Address -Format msf+
بدین صورت می شود اکسپلویت هایی که میتوان بر روی حفره های امنیتی سایت هدف اجرا کرد را به راحتی پیدا کرده و بر روی سایت هدف اجرا کرد.
تست امنیت سایت چیست؟
همانطور که در قسمت بالا گفته شد، هر اقدامی که برای جلوگیری از نفوذ بد افزار یا افراد به صورت غیر قانونی به سایت گردد یک اقدام در جهت امنیت سایت محسوب میشود.
حالا هر فرایند یا روشی که نشان دهد سایت چقدر امنیت دارد و میتواند در برابر هکر ها و بد افزار ها مقاومت کند یک تست امنیت سایت محسوب میشود که در بخش بالا با نیکتو نشان دادیم که چگونه این فرایند انجام میشود.
با نیکتو به راحتی میتوانید میزان امنیت سایت خود را اندازه گرفته و مطمئن شوید که چه مقدار در برابر آسیب های ممکنه امنیت دارد.
میدونی کار پشتیبان امنیت شبکه چیه و دقیقا چه کاری رو انجام میده؟
آیا امنیت سایت به صورت 100 درصد امکان پذیر است؟
خیر. طبق توضیحات کارشناسان شبکه رایانه کمک هیچ امنیت 100 درصدی وجود ندارد و اگر توجه داشته باشید شرکت های بزرگ که در زمینه تکنولوژی در حال فعالیت هستند گاهی با حمله هکر ها یا باج افزار ها روبرو میشوند. به همین دلیل است که کمپانی های تولید کننده آنتی ویروس هر ساله سعی میکنند بر روی محصول خود کار کرده و ورژن جدید آن را به بازار ارائه دهند.
بنابراین هیچ امنیت 100% سایت وجود ندارد اما باید سعی کنیم تا حد امکان کاری کنیم که هزینه و زمان نفوذ به سایت ما بیشتر از هزینه اطلاعات طبقه بندی شده در سایت باشد.
آیا وبسایت های دیگری برای اسکن سایت وجود دارد؟
بله سایت و نرم افزار های بسیاری وجود دارند که برای تست امنیت سایت ساخته شده اند و در عرض چند دقیقه تمام بخش های سایت شما را بررسی میکنند.
اما برخی از آنها رایگان نبوده و لازم است اشتراک تهیه کنید. در ادامه سعی میکنیم بهترین سایت های بررسی امنیت سایت به صورت آنلاین را به شما معرفی کنیم.
- Sucuri SiteCheck
- Mozilla Observatory
- Detectify
- SSLTrust
- WPScan
تمام سایت های بررسی امنیت سایت ها که در بالا به آنها اشاره کردیم توسط وبسایت codeinwp تایید شده است.
سخن آخر:
در آخر از همراهی شما تا انتهای مقاله تست نفوذ و بررسی امنیت سایت با نیکتو سپاسگزاریم ما در این مطلب سعی کردیم به روشی ساده جهت بررسی امنیت وب سایت بپردازیم، با شناسایی ضعف های امنیتی وب سایت می توانید از حمله ی هکرها به سایت خود جلوگیری نمایید، امیدواریم این مطالب برای شما مفید بوده باشد، در صورتی که با مشکل یا سوالی مواجه شده اید می توانید از طریق شماره های ۹۰9۹۰۷۱۵۴۰ یا ۰۲۱۷۱۲۹ با کارشناسان رایانه کمک در تماس باشد.