Revisión de Nikto y alternativas
Nadiees gratislínea de comandoescáner de vulnerabilidad. Este tipo de software busca la presencia de lagunas que se sabe que utilizan los piratas informáticos que quieren colarse en un sistema o enviarle malware.
Un gran beneficio deescáneres de vulnerabilidades que realizan una serie de comprobaciones automáticamente sin necesidad de que un operador humano tome notas o tome decisiones. Esto significa que el usuario no necesita tener ningún conocimiento de ciberseguridad para utilizar la herramienta y puede obtener una evaluación completa del sistema sin pagar un costoso servicio de consultoría. Por tanto, los escáneres de vulnerabilidades ahorran tiempo y dinero a las empresas. Además, Nikto eslibre de usar, que es aún mejor.
La historia de Nikto.
Nikto fue lanzado por primera vez en diciembre de 2001. El sistema fue creado porChris Sullo, consultor de seguridad y probador de penetración. El proyecto siguió siendo de código abierto y contó con el apoyo de la comunidad mientras Sullo continuaba con su carrera.
Proyectos de código abiertotienen costos más bajos que el desarrollo de software comercial porque la organización no tiene que pagar a los desarrolladores. En el caso de Nikto, todo el paquete básico fue escrito por una persona y luego mejorado por otros entusiastas.
Una fuente de ingresos para el proyecto reside en sus archivos de datos, que proporcionan la lista de exploits a buscar. Desafortunadamente, el paquete de reglas de explotación esno gratuito. Esto coloca al proyecto en una posición difícil. Por un lado, su promesa de software libre es atractiva. Por otro lado, sin embargo, el costo oculto adicional es desalentador y obligaría a reconsiderar sus usos potenciales.
La perspectiva de pagar por utilizar el sistema lo pone en competencia con sistemas desarrollados comercialmente.administradores de vulnerabilidad, que tienen mayores presupuestos para financiar el desarrollo. Nikto tuvo problemas con la financiación hasta febrero de 2014, cuando Invicti (anteriormente Netsparker) se convirtió en socio del proyecto, aportando financiación y experiencia organizativa.Invenciblepatrocina a Nikto hasta la fecha.
Invencibleproduce un escáner de vulnerabilidades que también se puede utilizar comopruebas de desarrollopaquete.
Nadie usa
Nikto actualmente se factura comoNikto2. La herramienta tiene ahora 20 años y ha alcanzadoversión 2.5. Este es un escáner de servidor web que busca vulnerabilidades en aplicaciones web. El paquete tiene aproximadamente6.700 vulnerabilidadesen su base de datos.
Rutinas en Nikto2 buscansoftware obsoletocontribuir a la entrega de aplicaciones web y verificar el estado del servidor web.configuración. El sistema puede escanear puertos en servidores web y puede escanear varios servidores en una sesión. El escáner intenta una variedad de ataques y busca exploits. Por ejemplo, sondeará las credenciales, trabajando en un diccionario de nombres de usuario y contraseñas conocidos que los piratas informáticos saben que deben probar.
La secuencia de pruebas también incluye unaataque anti-IDSeso le ayudará a comprobar las capacidades de su sistema de detección de intrusos, si tiene uno instalado.
El resultado de cada escaneo se resumirá en la pantalla y también es posible solicitar un informe escrito en un archivo en formato de texto sin formato, XML, HTML, NBE o CSV. Los informes se pueden personalizar aplicando una plantilla escrita previamente, o es posible escribir la suya propia.plantilla de formato. También es posible solicitar registros detallados para pruebas individuales.
Cada ejecución de escaneo se puede personalizar especificando clases de atributos paraexcluirdel plan de prueba.
El escaneo puede tardar un poco y es posible que se pregunte si se está bloqueando. Desafortunadamente, la herramienta no tiene ningún gráfico que muestre que todavía está funcionando, como una barra de progreso, como servicio de línea de comandos. Sin embargo, el sistema incluye unprocedimiento de interrupciónque puedes implementar presionando la barra espaciadora. Esto hace que Nikto2 dé unInforme de progresopara estimar cuánto tiempo queda para la exploración.
Opciones de implementación de Nikto
Nikto2 opera comoun proxy. Esto intercepta el tráfico entre su servidor web y el programa que inicia todas las pruebas. Un proceso separado captura el tráfico y registra los resultados. Este escenario se usa ampliamente en herramientas de prueba de penetración; por ejemplo, tantometasploitySuite de eructosUtilice el modelo proxy. Debe alojar ambos elementos en su sitio y ambos pueden ejecutarse en el mismo host.
El software está escrito para ejecutarse enlinuxy otratipo Unixsistemas operativos. La herramienta está integrada en Kali Linux. Este es un proyecto de código abierto y puede obtener el código fuente de su repositorio de GitHub y modifíquelo si desea crear su versión personalizada.
Fortalezas y debilidades de Nikto
Comouna herramienta gratuitacon un desarrollador activo, el progreso en las actualizaciones de software es lento. A pesar del patrocinio de Invicti (antes Netsparker), el proyecto no parece haber mejorado su estrategia de desarrollo. Por ejemplo, el sitio explica que el mecanismo de gestión de lanzamientos esmanualy, aunque hay un proyecto planificado para automatizar esto, Chris Sullo aún no lo ha logrado. Esto explica que Sullo sea prácticamente el único desarrollador involucrado en el proyecto. También es el único técnico de soporte.
No hay un tablero de mensajes ni una función de intercambio de datos para los usuarios, por lo que el paquete no tiene el 'soporte comunitario”ofrecido por muchos otros proyectos de código abierto.
Ventajas:
- Un programa básico gratuito
- Comprobaciones exhaustivas del número de exploits en el análisis estándar que coinciden con los solicitados por los administradores de vulnerabilidades pagados.
- Comprobaciones externas para aplicaciones web.
- Incluido en Kali Linux
Contras:
- Sin interfaz GUI
- Sin equipo de desarrollo y soporte.
- Sin foro comunitario
- No funcionará sin una lista de vulnerabilidades pagada
Alternativas a Nikto
Nikto es un valiente intento de crearun escáner de vulnerabilidad gratuito. Sin embargo, la falta de impulso en el proyecto y el pequeño número de personas involucradas en la gestión y mantenimiento del sistema significa que si eliges esta herramienta, estarás prácticamente solo.
Nuestra metodología para seleccionar una alternativa a Nikto
Revisamos el mercado de administradores de vulnerabilidades como Nikto y evaluamos las opciones según los siguientes criterios:
- Un paquete de instalación para instalación automatizada
- Una interfaz GUI para facilitar su uso
- Opciones para escaneo de vulnerabilidades programado o bajo demanda
- Un sistema que las reglas personalizables pueden adaptar
- Un sistema bien mantenido con parches para actualizar las reglas y funcionalidades de detección.
- Una herramienta gratuita o un mecanismo de evaluación para herramientas pagas
- Un sistema pago que ofrece una buena relación calidad-precio o una herramienta gratuita que funciona
Hemos compilado una lista de algunos excelentesadministradores de vulnerabilidadque ofrecen buenas alternativas a Nikto con estos criterios de selección en mente. Teniendo en cuenta que el público de esta guía gestiona sistemas empresariales, también priorizamos los servicios que vienen con un paquete de soporte profesional o que brindan acceso a una comunidad de usuarios extensa y activa para recibir asesoramiento.
Aquí está nuestra lista de las seis mejores alternativas a Nikto:
- Invencible (ACCESO A LA DEMO GRATUITA) Este es eladministrador de vulnerabilidadofrecido por el patrocinador principal de Nikto, y también presenta la mejor alternativa a esa herramienta de código abierto. Aunque Invicti no es de uso gratuito, vale la pena el dinero. El sistema se puede implementar en varias opciones que brindan análisis de vulnerabilidades bajo demanda, análisis programados o análisis continuo, que proporciona pruebas integradas para canalizaciones de CI/CD. Este servicio busca exploits y examina el código para buscar errores lógicos y posibles puntos de entrada para ataques de día cero. Se trata de una herramienta sofisticada y fácil de usar respaldada por técnicos que están disponibles las 24 horas. Este administrador de vulnerabilidades de aplicaciones web se ofrece como una plataforma SaaS o un paquete de software en el sitio para ventanas y Servidor de windows . Accede a un sistema demo gratuito para valorar los invictos
- Acunetix (ACCESO A LA DEMOSTRACIÓN GRATUITA) Este administrador de vulnerabilidades es una mejor apuesta que Nikto porque ofrece opciones para escaneo de red interna y gestión de vulnerabilidades de aplicaciones web. Este sistema busca más de 7.000 vulnerabilidades externas y más de 50.000 exploits basados en la red. Los escaneos que realiza este sistema son rápidos a pesar de la gran cantidad de comprobaciones que realiza. Acunetix se ofrece en tres ediciones que brindan pruebas bajo demanda, programadas y continuas. La herramienta se puede utilizar para pruebas de desarrollo de aplicaciones web, así como para escaneo de vulnerabilidades. Este sistema está disponible como SaaS plataforma o para instalación en ventanas , Mac OS , o linux . Acceso un sistema de demostración para evaluar Acunetix.
- Syxsense seguro Este es un sistema basado en la nube. administrador de vulnerabilidad eso incluye una gama de servicios de seguridad adicionales además de herramientas de administración del sistema. El servicio de verificación de vulnerabilidades consta de un escáner de puertos y el paquete incorpora un administrador de parches que el escáner de vulnerabilidades activará automáticamente. Otra característica de este servicio es un módulo de respuesta y detección de puntos finales (EDR) que rastrea cada punto final en busca de malware e identifica intrusiones y amenazas internas. El EDR funciona simultáneamente como agente para el escáner de vulnerabilidades y el administrador de parches, y está disponible para ventanas , Mac OS , y linux . El escáner se puede ejecutar según demanda o configurarse para que se repita en un horario con la frecuencia que usted elija. El sistema también se puede configurar para que funcione de forma incremental y se inicie automáticamente cada vez que lleguen actualizaciones de inteligencia sobre amenazas. Elcuenta SaaSTambién incluye espacio de almacenamiento para instaladores de parches y archivos de registro. Syxsense Secure está disponible para una prueba gratuita de 14 días .
- SecPod SanerAhora Esta plataforma SaaS de servicios de seguridad y gestión de sistemas incluye una administrador de vulnerabilidad , a administrador de parches , y un administrador de configuración . El sistema también proporciona en el dispositivo detección y respuesta de endpoints software que se puede coordinar desde la plataforma en la nube. Todas las funciones de seguridad y gestión del paquete SanerNow se pueden vincular para proporcionar una detección y corrección completa de las debilidades de seguridad. La herramienta se puede configurar para que se ejecute de forma continua y automática para garantizar el fortalecimiento del sistema y proporcionar protección preventiva. La combinación de gestión de activos y software en este paquete también funciona bien para las operaciones diarias, como el aprovisionamiento y la incorporación. Se puede utilizar para crear nuevos usuarios y configurar nuevos dispositivos automáticamente aplicando un perfil. Todas las funciones de monitoreo y gestión del paquete SanerNow incluyen acción y detección extensas. Inicio sesión servicio que proporciona un seguimiento de auditoría adecuado para los informes de cumplimiento. Ofertas SecPod una prueba gratuita de SanerNow.
- ManageEngine Administrador de vulnerabilidades Plus Este paquete contiene módulos que pueden solucionar los problemas que identifica el escáner de vulnerabilidades del paquete. Como estos servicios se ofrecen como una colección, la resolución puede activarse automáticamente cuando el escáner descubre debilidades. Esos servicios de remediación incluyen un administrador de parches y un administrador de configuración . El escáner de vulnerabilidades se ejecuta según una programación con el ciclo de inicio predeterminado siendo cada 90 minutos – esa frecuencia se puede alterar. La base de datos de exploits se actualiza automáticamente cada vez que se descubre una nueva estrategia de ataque de piratas informáticos. El software se instala en Servidor de windows, y los agentes ejecutan dispositivos de escaneo ventanas , Mac OS , y linux . ManageEngine ofrece Vulnerability Manager Plus en una prueba gratuita de 30 días y también hay una Edición gratuita , que escanea hasta 25 dispositivos.
- Rapid7 InsightVM Este escáner de vulnerabilidad es parte de una plataforma en la nube eso incluye todas las últimas herramientas de seguridad del sistema de Rapid7. Es posible suscribirse a varios de estos y que los mismos agentes realicen toda la recopilación de datos en el sitio. El escáner puede funcionar dentro de una red , en endpoints y servicios en la nube. Proporciona escaneos internos y externos. Además, InsightVM incluye una Evaluación de riesgos servicio que proporciona un servicio de notificación de riesgos a terceros y se mantiene constantemente actualizado. InsightVM está disponible para una prueba gratuita de 30 días .
Preguntas frecuentes sobre Nikto
¿Es Nikto una buena herramienta?
Nikto es una buena herramienta, pero le faltan algunos elementos, lo que podría hacer que busques un escáner de vulnerabilidades alternativo. La ausencia más importante en el sistema Niktop es una lista de vulnerabilidades a buscar; debe obtenerla de otro lugar.
¿Se puede detectar a Nikto?
Nikto es fácil de detectar: no es nada sigiloso. Si un pirata informático quiere utilizar Nikto para identificar las debilidades de seguridad en un sistema, cualquier sistema de detección de intrusos detectará esa sonda inmediatamente.
¿Por qué se utiliza Nikto?
Nikto es útil para fortalecer el sistema. Debe buscar software desactualizado y actualizarlo o eliminarlo y también escanear las cookies que se instalan en su sistema. Nikto realiza estas tareas.