21 octubre 2009

Lanzado Nikto 2.1.0


Nikto es una herramienta open-source escrita en perl cuya función es la de analizar servidores web basándose en una gran base de datos de plugins. No pretende ser competencia a productos comerciales de la talla de HP Webinspect, IBM Rational AppScan o Acunetix, si no que gracias a ella obtendremos un buen punto de partida para comenzar nuestras auditorias a sitios web.

Es "ruidosa", no posee una gran interfaz gráfica (aunque se que os encanta la consola...) y no contiene herramientas aparte para realizar otras tareas, pero es tremendamente efectiva y los resultados nos darán "pistas" de por dónde empezar el correspondiente análisis.


El 18 de Octubre, David Lodge anunció la liberación de la versión 2.1.0, con un buen conjunto de novedades, sobretodo en su programación y optimización. A continuación os dejo un resumen de su Changelog traducido al castellano:
  • Reescrito el motor de plugins y de reporting.
  • Gran revisión de la documentación para comentar los métodos incluidos y las variables
  • Añadido soporte de caché para reducir el número de llamadas realizadas a los servidores web, junto con la posibilidad de desactivar la función de control sobre los mensajes HTTP 404
  • Añadidas técnicas básicas para poder reconocer si el sistema analizado se trata de un dispositivo empotrado, dando detalles del tipo.
  • Plugin de utilización de los diccionarios de palabras de OWASP para realizar fuerza bruta de directorios contra el servidor web.
  • Plugin para realizar fuerza bruta sobre dominios
  • Posibilidad de obtención de usuarios utilizando un diccionario de palabras así como fuerza bruta
  • Soporte de autenticación NTLM
  • Arreglados varios fallos y comprobaciones de seguridad.

Está claro que la apuesta principal de esta versión es la posibilidad de realizar ataques de fuerza bruta en busca de posibles recursos no indexados, como por ejemplo directorios, además de usuarios válidos.




Sin duda, una herramienta básica que debería estar en tu directorio de /tools/ si te gusta buscarle las cosquillas a los servidores web...siempre con moderación y con el debido consentimiento.

[+] Página oficial de Nikto | Descarga la versión 2.1.0 [.tar.gz|.bz2]
[+] Manual de uso de Nikto 2.1.0

1 comments :

D Moreno dijo...

Bastante buena pinta sí tiene... quizá está versión sea una buena alternativa frente a tener que arrancar una máquina virtual cada vez que haya que lanzar un escaneo con Acunetix.