| | | Nikto-Ergebnisse verstehen |
Manche Webserver sind (absichtlich oder unabsichtlich) so konfiguriert, dass Sie auf Anfragen für nicht vorhandene Seiten mit einem anderen Statuscode als 404 antworten. Die kann genutzt werden, um derartige Anfragen von menschlichen Benutzern auf eine hilfreiche Seite (wie etwa eine Übersichtsseite) umzuleiten, verwirrt aber Sicherheitsanwendungen wie Nikto, die über diesen Mechanismus überprüfen, ob möglicherweise vertrauliche oder gefährliche Inhalt über diesen Webserver verfügbar sind.
Nikto kann dies in den meisten Fälle automatisch feststellen und wird standardmäßig keinen Scan gegen einen solchen Rechner starten. Sie können aber trotzdem einen Nikto-Scan erzwingen, indem Sie die Option Force scan even without 404s in den Voreinstellungen des NVTs aktivieren.
Falls Sie diese Option aktivieren, beachten Sie bitte, dass die Ergebnisse Ihres Nikto-Scans unter diesen Umständen so genannte „False Positives“ enthalten kann, also irrtümlich auf Sicherheitsprobleme hingewiesen wird; durch eine Konfiguration wie die oben beschriebene kann es passieren dass Nikto davon ausgeht, dass unter einer bestimmt Adresse potentiell vertrauliche oder gefährliche Daten verfügbar sind, obwohl der Server nur eine allgemeine Antwort auf die Anfrage gegeben.
Dies trifft besonders auf ältere Versionen von Nikto (vor 2.0) zu; aber auch mit neueren Versionen müssen Sie unter Umständen von Hand überprüfen, ob die von Nikto gefundenen Sicherheitslücken wirklich eine Gefahr darstellen oder nur das Ergebnis der Konfiguration des Webservers sind.
| | | Nikto-Ergebnisse verstehen |