2467929

Nikto: Webserver nach Schwachstellen abtasten

24.11.2019 | 13:01 Uhr |

Cyberkriminelle haben es viel zu oft viel zu leicht. Falsch konfigurierte Webserver oder nicht behobene Sicherheitslücken bieten Möglichkeiten, um ein System zu kapern. Wir stellen Ihnen ein Werkzeug vor, das Webserver überprüfen kann.

Vertrauen ist gut, Kontrolle ist besser. Wer sein Blog oder seinen Webserver nicht auf einem eigenen Rechner betreibt, muss sich auf seinen Provider verlassen. Ob die aktuellste Version einer Anwendung eingesetzt wird, ist noch einfach zu überprüfen. Deutlich schwieriger wird die Beurteilung, wenn es tiefer in den Maschinenraum geht. Denn wie es mit Datenbanken, Serverkomponenten oder Script-Sprachen aussieht, erkennt der Nutzer nur dann, wenn er auf dem Server root-Rechte besitzt – und die sind eher den teureren Tarifpaketen vorbehalten. Mit Nikto besitzen Sie ein Werkzeug, das ein System gezielt auf Schwachstellen überprüft und auch veraltete Programmversionen entlarvt.

Wann Sie Nikto brauchen

Die Anwendung Nikto wurde dazu entwickelt, einen Webserver auf Sicherheitslücken zu analysieren. Das können beispielsweise falsch konfigurierte Erweiterungen für Apache sein. Aber auch veraltete Softwareversionen erweisen sich schnell als potenzielles Einfallstor für ungebetene Gäste auf dem Server. Nikto findet solche Lücken und ist leicht zu bedienen. Die Software ist ambivalent: Nikto kann für einen professionellen Angreifer eine wichtige Ergänzung zu nmap bei der Informationsbeschaffung über unbekannte Systeme sein. Während nmap zunächst die in einem Netzwerk vorhandenen Server ermittelt, dienen diese anschließend für Nikto als Angriffsziele.

Nikto ist in den meisten Paketquellen aktueller Distributionen dabei. In der Regel genügt also die Installation über den Paketmanager der Wahl. Sie können sich das in Perl geschriebene Programm aber auch direkt von der Projektseite herunterladen . In der sehr guten Zusammenstellung von Kali Linux ist Nikto ebenfalls Standard. Die Spezialdistribution ist auch als Liveversion verfügbar. So können Sie schnell von jedem Rechner eine Analyse starten.

Anleitung: Linux-Server rundherum absichern

Was der Server über sich verrät 

Nach wenigen Sekunden liefert Nikto erste Informationen über den Server, wie in diesem Fall die fehlende Angabe eines MIME-Typs und dessen Konsequenzen.
Vergrößern Nach wenigen Sekunden liefert Nikto erste Informationen über den Server, wie in diesem Fall die fehlende Angabe eines MIME-Typs und dessen Konsequenzen.

Bevor es losgeht, der obligatorische Hinweis, dass Sie Nikto nur auf Systeme loslassen dürfen, die Ihnen gehören. Bei der Überprüfung anderer Webserver machen Sie sich im Zweifel strafbar. Und die Nikto-Analyse könnte dort auch schnell auffallen, denn Nikto besitzt keinen Stealthmodus. Seine Analysen werden so schnell wie möglich ausgeführt: Auf dem Zielsystem tauchen eine Reihe von Anfragen auf, die verdächtig erscheinen und ihre Spuren hinterlassen. Die einfachste Option, Nikto einzusetzen, besteht im Aufruf direkt im Terminal: 

nikto -h 

Es gibt für das in Perl geschriebene Programm auch eine Reihe grafischer Oberflächen, um damit zu arbeiten. Ob Sie darauf zurückgreifen wollen, ist letztlich Geschmackssache. Bei der Angabe des Zielrechners können Sie dessen URL, aber auch die IP-Adresse verwenden.

In diesem Zusammenhang sollten Sie sich vor Augen führen, dass je nach Aufruf der gleichen Maschine unterschiedliche Ergebnisse zurückgeliefert werden. Rufen Sie etwa einen virtuellen Host auf, beispielsweise „www.domain.tld“, werden die darunter angeordneten Verzeichnisse gefunden und untersucht. Beim Zugriff auf die IP-Adresse des Rechners sollten dabei die darunter angeordneten Verzeichnisse und virtuellen Hosts ausgegeben werden. Ist ein fester Pfad Teil der Abfrage, wird Nikto auch nur innerhalb dieser Verzeichnisstruktur suchen. Nach der Bestätigung Ihrer Eingabe müssen Sie das System einen Moment seine Arbeit verrichten lassen. Wenige Sekunden nach dem Start tauchen dann erste Hinweise im Terminal auf. So erfahren Sie dort dann gleich, welche Serverversion eingesetzt wird, und können das Geschehen verfolgen. Es dauert eine Weile, bis die Software alle Tests abgeschlossen hat.

Wie Sie richtig auf die Analyse reagieren 

Im Hinblick auf die gefundenen Schwachstellen zeigt sich Nikto sehr anwenderfreundlich. Einige der Meldungen sind unmittelbar verständlich, beispielsweise wenn die Analyse erbringt, dass die Lizenz-Dateien („license.txt“) der installierten Anwendungen offen zugänglich sind. Diese werden für die Ausführung der Programme nicht benötigt, enthalten aber Hinweise auf die installierte Version, was Angreifern wieder Rückschlüsse darüber erlaubt, wonach sie gezielt suchen müssen. Andere Meldungen erschließen sich dagegen nicht so ohne Weiteres. In den Ergebnissen fallen schnell die numerierten Hinweise auf, zum Beispiel „OSVDB-3233“. Diese verweisen auf die Website des Projekts „Open Source Vulnerability Database“, das allerdings seine Dienste eingestellt hat.

Mit der Formulierung und dem exakten Zahlencode werden Sie in vielen Fällen durch eine Google-Anfrage Hinweise auf das Problem und dessen Lösung erhalten. Bei Schwachstellen, die auf SSL-Zertifikate oder Komponenten des Webservers hinweisen, besitzen Sie bei Nutzung eines Hostingpakets allerdings eher schlechte Karten, das Problem zu beseitigen. Denn der Zugriff auf die entsprechenden Komponenten ist von den Providern in der Regel vernagelt. Erst beim Einsatz von dedizierten Servern, auf denen Sie root-Recht besitzen, können Sie die angemahnten Bibliotheken bearbeiten oder ersetzen.

Anleitung: Alte Hardware als Server recyceln

Mit Nikto gezielt Schwachstellen aufstöbern 

Eine Recherche im Internet liefert in der Regel zu den jeweiligen Nikto-Ergebnissen detaillierte Informationen.
Vergrößern Eine Recherche im Internet liefert in der Regel zu den jeweiligen Nikto-Ergebnissen detaillierte Informationen.

Je nach Größe der Installation, die geprüft wird, kann es eine Weile dauern, bis Nikto seine Arbeit beendet hat. Um dies abzukürzen, können Sie vorab auswählen, welche Tests durchgeführt werden sollen. Außerdem ist es möglich, sich das Ergebnis der Analyse auch in anderer Form zu speichern, um die Probleme in Ruhe nachzulesen und nacheinander zu bearbeiten. Um gezielt einen Bereich zu überprüfen, ergänzen Sie den Funktionsaufruf um den Parameter „-Tuning“, dem Sie dann den gewünschten Bereich als Ziffer folgen lassen. Um beispielsweise nach verräterischen Dateien zu suchen, nutzen Sie 

nikto -h -Tuning 1

Das spart viel Zeit bei der Analyse. Für die Speicherung der Ergebnisse für spätere Verwendung ist ebenfalls ein Schalter beim Funktionsaufruf zuständig. Mittels „-Format“ definieren Sie das Ausgabeformat. Möglich sind etwa Text- und HTML-Dateien, aber auch die Weitergabe an Datenbanken via CSV oder JSON. Eine Auflistung aller Parameter inklusive dieser Formate erreichen Sie mit diesem Befehl: 

nikto -H

Zusätzlich definieren Sie den Namen der Ausgabedatei. Diese wird, sofern kein Pfad angegeben wird, in das Dokumentverzeichnis des aktuellen Benutzers geschrieben. Ein typischer Funktionsaufruf sieht dann folgendermaßen aus:

nikto -h -Format txt -o dateiname.txt 

Der Schalter „o“ steht wie gewohnt für Output. Ihre eigentliche Arbeit beginnt dann am Ende der Analyse, wenn das Patchen der gefundenen Lücken beginnt oder neue Programmkomponenten installiert werden müssen.

Die Themen in Tech-up Weekly #170:

► Shadow: Cloud Gaming ab 12,99 Euro im Monat
www.pcwelt.de/news/Shadow-Cloud-Gaming-ab-12-99-Euro-im-Monat-10692849.html

► Vodafone schließt “größtes LTE-Funkloch Deutschlands”
www.pcwelt.de/news/Vodafone-schliesst-groesstes-LTE-Funkloch-Deutschlands-10691536.html

Quick-News:

► Google-KI schlägt 99,8 Prozent aller Starcraft 2 Spieler
www.pcwelt.de/news/Google-KI-schlaegt-99-8-Prozent-aller-Starcraft-2-Spieler-10694094.html
► Neue Netflix-Funktion sorgt für Wirbel im Netz und in Hollywood
www.pcwelt.de/news/Neue-Netflix-Funktion-sorgt-fuer-Wirbel-im-Netz-und-in-Hollywood-10692744.html
► EA-Spiele demnächst wohl wieder bei Steam erhältlich
www.pcwelt.de/news/Electronic-Arts-EA-Spiele-demnaechst-wohl-wieder-bei-Steam-erhaeltlich-10692013.html

►Nvidia: Neuer Shield TV und Shield TV Pro 2019 vorgestellt
www.pcwelt.de/news/Nvidia-Neuer-Shield-TV-und-Shield-TV-Pro-2019-vorgestellt-10692071.html

►Verbot sexueller Nutzung von Emojis auf Facebook und Instagram
www.pcwelt.de/news/Verbot-sexueller-Nutzung-von-Emojis-auf-Facebook-und-Instagram-10694072.html

►Core i9 9900KS: Intels Top Gaming CPU startet
www.pcwelt.de/news/Core-i9-9900KS-Intels-Top-Gaming-CPU-startet-10692549.html

Fail der Woche:

► “Kein Handy vor 11 Jahren!”, fordert Deutschlands oberster Kinderarzt
www.pcwelt.de/news/Kein-Handy-vor-11-Jahren-fordert-Deutschlands-oberster-Kinderarzt-10693340.html



► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

► Unterstützt uns, werdet Kanalmitglied für nur 99 Cent im Monat und erhaltet exklusive Vorteile (jederzeit kündbar):
www.youtube.com/pcwelt/join

► Windows-10-Key günstig & legal von Lizengo.de:
tidd.ly/2e760c56

--------

Unser Equipment (Affiliate-Links):

🎥Kameras:
amzn.to/2SjTm72
amzn.to/2IuqA3T
amzn.to/2IvFtmk

🔭Objektive:
amzn.to/2E0wofO
amzn.to/2NkGoFd

➡️ Stative:
teuer: amzn.to/2DIlCeV
günstig: amzn.to/2IHm026
Einbein: amzn.to/2T0WbPG

📺Field Monitore:
teuer: amzn.to/2UnVbWk
günstig: amzn.to/2IKAbUv

🎤Mikros:
Lavalier: amzn.to/2IxIlzm
Headset: de-de.sennheiser.com/hsp-esse...
Hand: amzn.to/2HdVKIT
Shotgun: amzn.to/2tA6ZoE

➡️ Kamera-Cages & Zubehör:
amzn.to/2Estthx
amzn.to/2XY5M7N
Damit habt Ihr alles im Griff: amzn.to/2SmfptN

➡️ Schulter-Rigs:
teuer: bit.ly/2V08tny
günstig: amzn.to/2PJrr0z

💻 Schnitt-Notebooks:
Apple: amzn.to/2JuPgYY
Nicht-Apple: amzn.to/2E3vsHI


PC-WELT Marktplatz

2467929