HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG HỌC PHẦN: AN TỒN MẠNG CHỦ ĐỀ : RÀ SỐT LỖ HỔNG WEB VỚI NIKTO SINH VIÊN : LÊ VĂN ĐOÀN MÃ SV: B18DCAT054 NHÓM :02 GIẢNG VIÊN : TS Đặng Minh Tuấn MỤC LỤC DANH MỤC HÌNH ẢNH LỜI NĨI ĐẦU Ngày nay, ứng dụng Web có mặt hầu hết lĩnh vực sống đại Cùng với phát triển nhanh chóng ứng dụng Web vấn đề bảo mật ứng dụng Web lĩnh vực vơ nóng hổi nhằm đảm bảo an toàn cho tất người dùng ứng dụng Vậy có lỗi bảo mật xảy ứng dụng Web điều ảnh hưởng tới tất cảngười dùng, ảnh hưởng tới uy tín cơng ty, tổ chức đó, gây mát mặt tài ràng buộc pháp lý Vì đề tài đáp ứng phần nhu cầu cấp thiết bảo mật Xây dựng nên quy trình phục vụ cho việc kiểm tra phát điểm yếu an tồn thơng tin ứng dụng Web, từ đưa báo cáo đánh giá an tồn thơng tin cho Website.Số lượng trang web có xu hướng phát triển theo cấp số nhân từ năm qua năm khác Theo Internet Live Stats, số lượng trang web năm 2017 gần gấp đơi so với năm 2016 Hiện tại, có khoảng tỉ trang web hoạt động Internet Điều có nghĩa có đến tỉ mục tiêu xâm nhập tiềm tàng cho tội phạm mạng Chính nhu cầu người ngày nâng cao, đòi hỏi ứng dụng phục vụ ngày cải tiến mức cao Nên nguy hệ thống bảo mật bị công ngày cao nhiều mức độ nghiêm trọng Đòi hỏi cần phải nhanh chóng xây dựng biện pháp đề phịng hiệu Có nhiều cơng cụ để bạn kiểm tra trang Web có lỗi hệ thống hay mức độ an tồn Nikto giành security-database.com "Bảo mật CNTT tốt Công cụ cho năm 2009" giải thưởng hạng mục mã nguồn mở cho máy quét ứng dụng Giải thưởng minh chứng cho công việc tuyệt vời mà Dave làm năm 2009 để giữ cho Nikto ln cập nhật, xác phù hợp web thay đổi với tốc độ cực nhanh Bài báo cáo gồm chương là: CHƯƠNG 1: KHÁI QUÁT VỀ NIKTO CHƯƠNG 2: CÀI ĐẶT VÀ TRIỂN KHAI NIKTO TOOL CHƯƠNG THỰC HIỆN RÀ QUÉT LỖI TRÊN WEBSITE CHƯƠNG 1: KHÁI QUÁT VỀ NIKTO I Sự cần thiết công cụ rà quét lỗ hổng - Việc rà quét lỗ hổng bảo mật thủ công phức tạo tốn thời gian thường u cầu xử lý lượng liệu lớn yêu cầu trình độ chun mơn cao Ngồi ra, tin tặc liên tục tìm cách để khai thác lỗ hổng ứng dụng web người dùng, điều có nghĩa người dùng phải liên tục theo dõi cộng đồng bảo mật tìm lỗ hổng ứng dụng web trước tin tặc phát chúng - Trái lại với đó, cơng cụ rà qt lỗ hổng bảo mật tự động giúp người dùng tiết kiệm thời gian công sức nhiều Người dùng cần tập trung vào công việc xây dựng phát triển ứng dụng web, hầu hết vấn đề bảo mật để cơng cụ rà qt tự động chịu trách nhiệm Các công cụ liên tục theo dõi cập nhật hình thức cơng Chúng rà quét mã nguồn ứng dụng phát lỗ hổng tồn Và tất nhiên tác vụ hoàn toàn tự động khoảng thời gian ngắn, giúp cho người dùng dồn hết thời gian vào việc phát triển ứng dụng II Giới thiệu Nikto Hình 37 Các plugin sử dụng iprice.vn Hình 38 Các plugin sử dụng iprice.vn - Các plugins bao gồm: apache_expect_xss, cgi, report_xml, report_text, favicon, report_sqlg, ssl, dir_traversal, docker_registry, drupal… multiple_index, negotiate, dishwasher, 4.2 Quét plugins apache_expect_xss - Thực lệnh nikto -h iprice.vn -Plugins apache_expect_xss Hình 39 Quét plugins apache_expect_xss III Quét nhiều host - Đầu tiên ta cần tạo file chứa Ip hostname Với Ip hostname tương ứng với dòng file Để chọn cổng quét ta thêm dấu “:cổng cần quét” sau địa Ip hostname tưởng ứng Nếu muốn thêm cổng ta thếm dấu ”,” cổng cần quét thêm sau cổng trước Hình 40 Tạo file chưa host - Thực câu lệnh Nikto –h “tên file chứa địa IP Hostname” để quét nhiều host Ví dụ Nikto –h host.txt Hình 41 Kết quét nhiều host KẾT LUẬN Nikto kiểm tra website tổng thể sau báo cáo lại lỗ hổng ghi nhận Khuyết điểm: Mặc dù Nikto quét lỗ hổng cực nhanh chóng hiệu Nhưng khơng lút Bất kỳ trang web có IDS biện pháp phịng chống bị qt trộm Thì phát bạn quét gửi thông báo cho admin Nhưng tổng thể, Cơng cụ Nikto đời khơng đứng phía Hacker dùng để quét lỗ hổng xâm nhập trái phép Nhưng lập trình viên dùng để quét lỗ hổng Sau đó, vá lại lỗ hổng trước website bị kẻ xấu công TÀI LIỆU THAM KHẢO [ Moulik, "Nikto: Full tutorial from scratch to pro updated," [Online] Available: https://techyrick.com/nikto-2/ ] [ NIKTO, "GitHub," [Online] Available: https://github.com/sullo/nikto/wiki/Scan- Tuning ] [ NIKTO, "NIKTO2," [Online] Available: https://cirt.net/Nikto2 ] [ N H Nhân, "Sử dụng Niko Kali Linux Quét Các lỗ hổng Máy chủ Web," [Online] Available: https://ddos403.blogspot.com/2017/12/su-dung-niko-kali-linux-quet-cac- ] [ ] lo.html D Creation, "NIKTO," [Online] Available: https://kali.tools/?p=2295 LỜI CẢM ƠN Trước tiên, em xin gửi lời cảm ơn đến Học viện Công nghệ Bưu Viễn thơng đưa mơn An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn Đặng Minh Tuấn dạy dỗ, rèn luyện truyền đạt kiến thức quý báu cho em suốt thời gian kỳ học vừa qua Trong lớp học thầy, em tiếp thu thêm nhiều kiến thức bổ ích, học tập tinh thần làm việc nghiêm túc, hiệu quả, trình bày khoa học Đây thực điều cần thiết cho trình học tập cơng tác sau em An tồn mạng mơn học bổ ích quan trọng sinh viên ngành an tồn thơng tin Bài tiểu luận kết thúc học phần em cịn có thiếu sót chỗ chưa chuẩn xác, mong giảng viên môn xem xét góp ý giúp báo cáo em hoàn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 20 tháng 12 năm 2021 Đoàn Lê Văn Đoàn ... hoàn toàn tự động khoảng thời gian ngắn, giúp cho người dùng dồn hết thời gian vào việc phát triển ứng dụng II Giới thiệu Nikto - Nikto máy quét máy chủ web Mã nguồn mở ( GPL ) thực kiểm tra toàn. .. Stats, số lượng trang web năm 2017 gần gấp đôi so với năm 2016 Hiện tại, có khoảng tỉ trang web hoạt động Internet Điều có nghĩa có đến tỉ mục tiêu xâm nhập tiềm tàng cho tội phạm mạng Chính nhu cầu... mức độ nghiêm trọng Đòi hỏi cần phải nhanh chóng xây dựng biện pháp đề phịng hiệu Có nhiều cơng cụ để bạn kiểm tra trang Web có lỗi hệ thống hay mức độ an tồn Nikto giành security-database.com