Instalación
Nikto está basado en Perl y se encuentra disponible en los repositorios oficiales de la mayoría de las distribuciones de seguridad. <CodeGroup>Top 10 Comandos (Guía HexSec)
Estos son los comandos esenciales para auditar servidores web de manera efectiva:1. Escaneo Estándar
Realiza un análisis básico de vulnerabilidades en el host especificado.2. Escaneo con SSL/HTTPS
Fuerza el uso de conexiones seguras durante el escaneo.3. Escaneo de Puertos Específicos
Permite definir puertos personalizados si el servidor no corre en los puertos estándar (80/443).4. Enfoque en Vulnerabilidades XSS
Ajusta el escaneo para centrarse específicamente en vulnerabilidades de Cross-Site Scripting.5. Técnicas de Evasión
Utiliza métodos básicos de evasión para intentar saltar detecciones de IDS o WAF.6. Exportar Resultados a HTML
Genera un informe detallado en formato HTML para su revisión posterior.7. Modo Verboso
Muestra información detallada de cada prueba realizada durante el escaneo.8. Escaneo con Autenticación
Permite auditar áreas protegidas mediante autenticación básica HTTP.9. Actualizar Base de Datos
Mantiene actualizados los plugins y la base de datos de vulnerabilidades de Nikto.10. Limitar el Tiempo de Escaneo
Define una duración máxima para el proceso de escaneo.Recomendaciones de Uso
- Ruido en la red: Nikto es una herramienta conocida por ser muy “ruidosa” y fácil de detectar por sistemas de detección de intrusos (IDS).
- Complemento: Se recomienda usar Nikto junto con otras herramientas como Nmap para descubrimiento de puertos y Burp Suite para análisis manual profundo.
- Actualización: Siempre ejecute
nikto -updateantes de comenzar una nueva auditoría para asegurar que cuenta con las últimas firmas de vulnerabilidades.
Aviso: Realizar escaneos con Nikto sin autorización previa puede ser considerado un ataque. Utilice esta herramienta de manera ética y responsable.