Scan Web Server Dengan Nikto

Banyak faktor kemanan sebuah website, diantaranya mencakup Firewall dan program anti-anti seperti Anti DDoS, Anti Malware, Anti Virus tetapi juga dari aplikasi web itu sendiri. Sebelum terjadi hal-hal yang tidak diinginkan terhadap server yang kita kelola, maka ada baiknya kita melakukan pengujian keamanan terlebih dahulu untuk mengetahui celah-celah keamanan apa saja yang kira-kira ada di server kita sehingga dapat mencegah attacker untuk melakukan eksploitasi.

Disini kita akan melakukan pengujian dengan menggunakan Nikto. Pertama kali kita perlu menginstal Nikto terlebih dahulu. Untuk distribusi Linux turunan Debian bisa menggunakan perintah berikut:

apt-get install nikto  

Atau jika Anda menggunakan keluarga RedHat perintahnya adalah sebagai berikut:

yum install nikto  

Kemudian lakukan uji coba di server lokal (localhost) :

riespandi@siliwangi:~$ nikto -h http://localhost  
- Nikto v2.1.4
---------------------------------------------------------------------------
+ Target IP:          127.0.0.1
+ Target Hostname:    localhost
+ Target Port:        80
+ Start Time:         2013-07-19 13:11:26
---------------------------------------------------------------------------
+ Server: GSE
+ Server banner has changed from GSE to Varnish, this may suggest a WAF or load balancer is in place
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ ETag header found on server, inode: 135036, size: 37, mtime: 0x4dca5cec546f4
+ Allowed HTTP Methods: OPTIONS, GET, HEAD, POST
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6448 items checked: 0 error(s) and 3 item(s) reported on remote host
+ End Time:           2013-07-19 13:11:40 (14 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Berikut adalah cuplikan hasil scan untuk server blog saya di OpenShift:

riespandi@siliwangi:~$ nikto -h http://arissh.com  
- Nikto v2.1.4
---------------------------------------------------------------------------
+ Target IP:          54.225.52.202
+ Target Hostname:    arissh.com
+ Target Port:        80
+ Start Time:         2013-07-19 13:13:15
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (Red Hat)
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ ETag header found on server, inode: 1048984, size: 30429, mtime: 0x4e1c24f3ac800
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.17). Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-3092: /sitemap.xml: This gives a nice listing of the site content.
+ OSVDB-561: /server-status: This reveals Apache information. Comment out appropriate line in httpd.conf or restrict access to allowed hosts.
+ OSVDB-3092: /archive/: This might be interesting

Menarik bukan? Nikto memberikan saran kepada kita berdasarkan hasil scan yang dilakukannya

Happy securing your server. Enjoy!

Halo, saya adalah seorang pengajar dan pengembang aplikasi, khususnya aplikasi web. Profil saya dapat ditemukan di Twitter dan Github.