Vulnerability Assessment Menggunakan Nikto
Vulnerability assessment adalah proses untuk mengidentifikasi dan mengevaluasi celah keamanan pada sistem atau aplikasi web. Salah satu tools yang dapat digunakan untuk melakukan vulnerability assessment pada web server adalah Nikto. Nikto adalah sebuah program open source yang ditulis dalam bahasa Perl dan dapat melakukan berbagai tes terhadap web server untuk mendeteksi ancaman keamanan, seperti outdated software, insecure file permissions, maupun beberapa kerentanan umum seperti XSS, SQL Injection, dll.Nikto dapat digunakan sebagai langkah awal untuk melakukan scanning pada aplikasi web yang berjalan, namun tentu saja tool ini bukan merupakan "silver bullet" untuk mencari semua kerentanan yang ada pada sebuah aplikasi.
Save File Options
Kelebihan Nikto
Berikut kelebihan dari tool Nikto:
- Open source
- Mudah digunakan
- Dapat mendeteksi berbagai macam kerentanan
Namun perlu dicatat bahwa tool scanner apapun bukan solusi akhir dalam menemukan sebuah kerentanan.
Kekurangan Nikto
Berikut kekurangan dari Nikto:
- Tidak dapat mendeteksi kerentanan yang sangat baru atau tidak diketahui.
- Tidak dapat melakukan scanning secara otomatis pada seluruh website.
- Tidak dapat melakukan scanning pada website yang memerlukan otentikasi
- Tidak dapat mendeteksi kerentanan yang bersifat logical bug
- Kemungkinan False Positive
Pada dasarnya tools VA apapun, termasuk Nikto memang sangat mengandalkan checklist yang mereka simpan didalam database. Sehingga kerentanan baru mungkin tidak akan terdeteksi, kecuali database Nikto sudah menambahkan kerentanan tersebut ke checklist mereka. Tool semacam ini juga tidak dapat menemukan kerentanan yang sifatnya adalah logical bug, seperti price tampering, IDOR, dll. Tools VA juga biasanya menentukan kerentanan ditemukan atau tidak berdasarkan pattern atau string yang muncul di response aplikasi. Hal ini kadang menimbulkan false detection sehingga perlu dilakukan verifikasi ulang. Dan satu lagi, tool ini "berisik" dan menghasilkan log di sisi server karena akan mencoba semua payload yang ada, sehingga ada kemungkinan kegiatan kalian akan tertdeteksi oleh IDS yang terpasang di sistem.
Instalasi Nikto
Jika kalian menggunakan distro Linux yang dikhususkan untuk pentest seperti Parrot atau Kali, tools ini sudah tersedia didalamnya, atau setidaknya sudah tersedia di repository mereka. Dapat diinstall dengan perintah:
sudo apt update -y && sudo apt install nikto -y
Jika nikto tidak tersedia di repository, kalian bisa unduh dari repository GitHub Chris Sullo.
https://github.com/sullo/nikto
Menggunakan Nikto
Untuk mulai menggunakan Nikto, kalian bisa jalankan perintah nikto -Help untuk melihat opsi apa saja yang tersedia.
Basic command:
nikto -h http://localhost/
Perintah diatas untuk menjalankan scanning pada website http://localhost/.
nikto -h http://localhost/ -output nikto.html
Perintah ini untuk menyimpan scan result nikto kedalam file html.
Penutup
Nikto dapat membantu kita dalam mengidentifikasi kerentanan pada website dan web application kita, sehingga kita dapat melindungi organisasi kita dari serangan cyber. Namun perlu digaris bawahi bahwa penggunaan Nikto sendiri masih dalam tahap Vulnerability Assessment. Artinya, untuk memastikan bahwa organisasi aman dari serangan masih harus dilakukan tahan Penetration Testing yang lebih kompleks dan mendalam.
Posting Komentar untuk "Vulnerability Assessment Menggunakan Nikto"
Posting Komentar
Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.