记一次网络漏洞扫描任务——Red Hat部署Nikto

记一次网络漏洞扫描任务——Red Hat部署Nikto

任务简述

扫描大概2000个url，发现其漏洞

过程

• 先开始使用Nessus，但是其命令行不友好，且限制ip个数，除非破解版。
• 之后选择OWASP zap，文档见OWASP ZAP command lines，命令行如下

/usr/share/zaproxy/zap.sh -quickurl 目标url -quickout /root/result.xml

会出现扫描报错ERROR

org.parosproxy.paros.core.proxy.ProxyServer - Failed to start the proxy serverjava.net.BindException: 无法指定被请求的地址 (Bind failed)

但依旧会生成xml文件，包括漏洞等级。

• 最后选择nikto，在虚拟机上测试可以用，打算部署到服务器上面

Nikto

安装

• 环境为Redhat
• 最开始考虑安装Docker，但是因为redhat版本太低和更新源问题，通过yum安装，总会少几个依赖。
• 然后参考按照Install Unix · sullo/nikto Wiki (github.com)可以安装Net::SSLeay, or Net::SSL，安装方法在这

由于RedHat直接用yum安装的perl把hack功能都删掉了

Perl module installation error - ExtUtils::MM_Unix::tool_xsubpp : Can't find xsubpp at ...lib/ExtUtils/MM_Unix.pm line 3887 - Stack Overflow，会报各种错，需要从Perl Download 官网下载源码的perl安装

再安装lib

会出现SSL support not available (see docs for SSL install)，但不影响使用

使用

Nikto安装和使用_茄子的博客-CSDN博客_nikto安装这里提到目标文件格式

Web漏洞扫描神器Nikto使用指南 - 知乎 (zhihu.com)

然后批量扫描时报错Error: Invalid IP，先是用正则表达式判断是否有效IP，再用request测试是否request code返回200，但都解决不了问题，后来不需要扫描了也没解决