Nikto是很多测试人员必备的一个自动扫描工具，正如他们家官网上说的那样(https://cirt.net/Nikto2) ：

Nikto 是一个开源 (GPL) Web服务器扫描工具，能检测包含超过 6700 种包含潜在威胁的文件或程序，检测过期的超过1250重服务器及特定版本存在的问题。还能检测服务器配置问题，比如多个 index 文件，HTTP 服务器配置，识别Web服务器安装的软件，扫描项和插件也会定期自动更新

这里，我们使用Nikto扫描Web应用的漏洞并分析结果

实践

1. Nikto是个命令行工具，因此我们在命令行打开它
2. 扫描应用 Peruggia vulnerable application并查看扫描结果：
   扫描结果1
   扫描结果2
   -h 参数：声明要扫描的目标主机
   -o 参数：指定扫描结果的输出和后缀名，这里，我们使用 .html 指定了 HTML 格式的扫描结果报告，报告格式还可以是 CSV、TXT或是XML格式的
3. 扫描过程会费点儿时间，结束后，我们就打开扫描结果文件 result.html：
   Paste_Image.png

总结

Nikto 还有一些其他的参数设置，最常用的，如下所示：

• -H: 显示Nikto的帮助信息
• -config <file>: 指定扫描的配置文件
• -update: 更新扫描插件的数据库
• -Format <format>: 自定义输出格式（CSV, HTM, NBE (Nessus), SQL, TXT, XML），其中CSV, XML, NBE格式可以作为其他工具的输入内容
• -evasion <technique>: 使用一些编码技术防止WAF或IDS检测
• -list-plugins: 列出可用的测试插件
• -Plugins <plugins>: 选择扫描中要用的插件（默认使用全部插件）
• -port <port number>: 被扫描的应用如果没有使用默认的（80，443）端口，使用这个参数指定应用的实际端口