Apache httpd : Webサーバーの脆弱性をスキャンする2016/09/28 |
|
Nikto をインストールして、Webサーバーの脆弱性をスキャンすることができます。スキャン結果はセキュリティ強化の参考になるでしょう。
|
|
| [1] | Nikto をインストールします。 |
|
# EPEL からインストール [root@www ~]# yum --enablerepo=epel -y install nikto
|
| [2] | Nikto を実行して Webサーバーをスキャンします。得られた結果を元に、Webサーバーの設定を見直すとよいでしょう。 なお、設定ファイルは /etc/nikto/config に用意されています。プロキシを利用している場合等は設定の変更が必要です。 |
|
[root@www ~]# nikto -host localhost - ***** RFIURL is not defined in nikto.conf--no RFI tests will run ***** - ***** SSL support not available (see docs for SSL install) ***** - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2016-09-30 19:17:11 (GMT9) --------------------------------------------------------------------------- + Server: Apache/2.4.6 (CentOS) + Server leaks inodes via ETags, header found with file /, fields: 0x1321 0x5058a1e728280 + The anti-clickjacking X-Frame-Options header is not present. + Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-3268: /icons/: Directory indexing found. + OSVDB-3233: /icons/README: Apache default file found. + 4197 items checked: 0 error(s) and 6 item(s) reported on remote host + End Time: 2016-09-30 19:17:17 (GMT9) (6 seconds) --------------------------------------------------------------------------- + 1 host(s) tested |
| Sponsored Link |