Nikto, Kali Linux’ta bulunan, web sunucularındaki güvenlik açıklarını taramak ve bu açıkları tespit etmek için kullanılan açık kaynaklı bir web sunucusu güvenlik tarayıcısıdır. Nikto, hedef web sunucusunda potansiyel güvenlik zafiyetlerini tespit etmek, kötü yapılandırmaları bulmak ve bilinen güvenlik açıklarını listelemek için hızlı ve etkili bir araçtır.
Nikto’nun Temel Özellikleri
- Yüzlerce güvenlik açığını tespit edebilir: Nikto, SQL enjeksiyonu, XSS, zayıf dosya ve dizin izinleri, eski yazılım sürümleri gibi çeşitli güvenlik açıklarını tespit edebilir.
- Sunucu yapılandırmalarını kontrol eder: HTTP başlıklarını, güvenlik önlemlerini ve web sunucusunun zayıf yapılandırmalarını tarar.
- Yüzlerce sunucuya karşı test yapabilir: Nikto, Apache, Nginx, IIS ve diğer birçok popüler web sunucusuna karşı zafiyet testi yapabilir.
- SSL/TLS taraması yapabilir: SSL sertifikası ve ilgili güvenlik ayarlarını inceleyerek HTTPS ile ilgili güvenlik açıklarını tespit edebilir.
- Eklenti tabanlıdır: Nikto, çeşitli eklentilerle genişletilebilir ve farklı güvenlik kontrolleri eklenebilir.
- Güncellemeleri destekler: Nikto’nun güvenlik açığı veritabanı sürekli güncellenir, bu sayede en güncel güvenlik açıklarını bulabilir.
Nikto’nun Kurulumu
Kali Linux üzerinde Nikto genellikle önceden kurulu olarak gelir. Eğer yüklü değilse şu komutla Nikto’yu yükleyebilirsiniz:
sudo apt install nikto
Yüklü olup olmadığını kontrol etmek için:
nikto -version
Bu komut, Nikto’nun sürümünü gösterecektir.
Nikto’nun Temel Kullanım Formatı
Temel kullanım formatı şu şekildedir:
nikto -h <hedef>
-h
: Tarama yapılacak hedef URL veya IP adresini belirtir.<hedef>
: Hedef web sunucusu, IP adresi veya etki alanı (örneğin,http://example.com
).
Nikto Kullanım Senaryoları
1. Temel Web Sunucusu Taraması
Nikto’nun temel kullanım şekli, bir web sunucusunda hızlı bir güvenlik taraması yapmaktır. Aşağıdaki komutla hedef bir web sunucusunu tarayabilirsiniz:
nikto -h http://example.com
Bu komut, hedef web sunucusunda bilinen güvenlik açıklarını ve yanlış yapılandırmaları tarar. Tarama sonunda şunlar listelenir:
- Zayıf yapılandırmalar
- Eski yazılım sürümleri
- Güvenlik açıkları ve potansiyel tehditler
2. SSL/TLS Sertifikası ve Güvenlik Taraması
Nikto, HTTPS ile çalışan bir web sunucusundaki SSL/TLS sertifikası ve güvenlik ayarlarını tarayabilir. Bu tarama, sunucunun SSL sertifikasını ve HTTPS yapılandırmasındaki zayıf noktaları kontrol eder. Aşağıdaki komutla SSL taraması yapabilirsiniz:
nikto -h https://example.com -ssl
Bu komut, hedef web sunucusunda SSL/TLS yapılandırmalarını kontrol eder ve güvenlik açıklarını raporlar.
3. Belirli Bir Portu Tarama
Nikto, web sunucusunun farklı portlarını da tarayabilir. Örneğin, bir web sunucusunun 8080 numaralı portunu taramak istiyorsanız:
nikto -h http://example.com -p 8080
Bu komut, hedef web sunucusunun 8080
portu üzerinde çalışan servisi tarar ve varsa güvenlik açıklarını tespit eder.
4. Ayrıntılı (Verbose) Modda Tarama
Tarama sırasında daha fazla ayrıntı görmek isterseniz, -v
seçeneğini kullanarak verbose modda tarama yapabilirsiniz:
nikto -h http://example.com -v
Bu komut, daha fazla ayrıntı göstererek, Nikto’nun hangi işlemleri yaptığına dair daha fazla bilgi sağlar.
5. Belirli Bir IP Adresi Üzerinde Tarama
Bir IP adresine doğrudan tarama yapmak için, hedef URL yerine IP adresini kullanabilirsiniz. Örneğin:
nikto -h 192.168.1.1
Bu komut, belirtilen IP adresindeki web sunucusunu tarar ve potansiyel güvenlik açıklarını listeler.
6. Proxy Üzerinden Tarama
Nikto, bir proxy üzerinden tarama yapmanıza da olanak tanır. Aşağıdaki komut, belirli bir proxy sunucusu üzerinden hedefi tarar:
nikto -h http://example.com -useproxy http://127.0.0.1:8080
Bu komut, taramayı yerel 127.0.0.1:8080
adresindeki bir proxy üzerinden gerçekleştirir.
7. Rapor Oluşturma
Nikto, tarama sonuçlarını farklı formatlarda kaydedebilir. Raporu HTML, CSV veya TXT formatında oluşturabilirsiniz. Örneğin, HTML formatında bir rapor oluşturmak için şu komutu kullanabilirsiniz:
nikto -h http://example.com -o report.html -Format html
Bu komut, tarama sonuçlarını report.html
dosyasına HTML formatında kaydeder.
Diğer formatlar:
-Format txt
: TXT formatında rapor oluşturur.-Format csv
: CSV formatında rapor oluşturur.
8. Güncelleme Kontrolü ve Veritabanını Güncelleme
Nikto’nun güvenlik açığı veritabanını güncel tutmak önemlidir. Nikto’nun veritabanını güncellemek için şu komutu kullanabilirsiniz:
nikto --update
Bu komut, Nikto’nun güvenlik açığı veritabanını günceller ve en güncel tehditleri tarayabilmenizi sağlar.
Nikto Kullanımı ile İlgili Diğer Seçenekler
-Tuning
: Belirli bir güvenlik açığı sınıfına odaklanarak tarama yapar. Örneğin:
nikto -h http://example.com -Tuning 9
Bu komut sadece CGI güvenlik açıklarını tarar. Diğer tuning seçenekleri için nikto --list-tunings
komutunu kullanabilirsiniz.
-Plugins
: Belirli eklentileri etkinleştirerek veya devre dışı bırakarak tarama yapar. Eklentilerin listesini görmek için:
nikto --list-plugins
-timeout
: Taramalar için zaman aşımı süresi belirler. Örneğin:
nikto -h http://example.com -timeout 10
Bu komut, her tarama isteği için 10 saniyelik bir zaman aşımı belirler.
Nikto’nun Kullanım İpuçları
- Kapsamlı bir güvenlik testi için: Nikto’yu diğer web güvenlik tarayıcılarıyla birlikte kullanarak daha kapsamlı bir güvenlik testi yapabilirsiniz. Örneğin, OWASP ZAP veya Burp Suite gibi araçlarla kombinasyon halinde kullanmak etkili sonuçlar verebilir.
- Sunucu yükünü göz önünde bulundurun: Nikto çok sayıda istek gönderebilir, bu da hedef sunucunun performansını etkileyebilir. Tarama yaparken bu durumu göz önünde bulundurarak saldırılarınızı sınırlı bir zaman diliminde gerçekleştirmeniz iyi bir uygulamadır.
- Ayrıntılı raporları kullanın: Ayrıntılı raporlar oluşturarak daha derinlemesine analizler yapabilir ve zafiyetleri ayrıntılı bir şekilde inceleyebilirsiniz.
Nikto’nun Etik Kullanımı
Nikto gibi güvenlik tarama araçları çok güçlüdür ve sadece izin verilen hedefler üzerinde kullanılmalıdır. İzinsiz olarak web sitelerine veya sunuculara karşı güvenlik taramaları yapmak yasa dışıdır ve ciddi hukuki sonuçlar doğurabilir. Bu nedenle, Nikto’yu sadece kendi web sunucularınızda veya test izni aldığınız sistemlerde kullanmalısınız.
Sonuç
Nikto, web sunucularını hızlı ve etkili bir şekilde tarayarak güvenlik açıklarını tespit etmenize yardımcı olan güçlü bir araçtır. Web sunucusu güvenlik testlerinde kullanılarak zayıf yapılandırmaları, eski yazılım sürümlerini ve potansiyel tehditleri ortaya çıkarır. Ancak, bu aracın yasal ve etik sınırlar içinde kullanılması gerektiğini unutmamalısınız.
İçerikler ChatGPT ile oluşturulmuş ve teyide muhtaç bilgilerdir.Sorun veya önerinizi iletişim sayfasından yazabilirsiniz.
Yorum Yap