Nikto扫描时为什么忽略我指定的8080端口?
我用Nikto扫描本地Apache服务器时,明明加了-port 80,8080参数,但结果只显示扫描了80端口。手动curl 8080能访问,防火墙也没问题,这是什么原因?
命令是这样写的:
nikto -h http://localhost -port 80,8080 -C all
扫描日志里直接跳过了8080,提示”Skipping port 8080 as it’s closed”,但用netstat确认8080确实在监听。试过加-maxtime和-timeout参数都没用,这是配置哪里出错了?
- 2
回答
30浏览
Nikto扫描后显示“403 Forbidden”错误,怎么解决?
用Nikto扫描本地测试服务器时,为什么总提示403 Forbidden? 我刚用XAMPP搭了个本地测试环境,想用Nikto检测漏洞。运行命令nikto -h http://localhost:80...
- 2
回答
25浏览
Docker运行容器时端口冲突怎么解决?我的8080端口被占用了
我用docker run启动了一个Node.js容器,绑定了宿主机8080端口,结果提示EADDRINUSE端口被占用。用netstat查了一下发现确实有其他进程占用了8080,但我把docker命令...
- 1
回答
14浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
- 1
回答
26浏览
Docker容器运行Node.js应用时,为什么端口映射后访问不到页面?
大家好,我最近在尝试用Docker部署一个简单的Node.js应用,但遇到了端口映射的问题。应用在本地直接运行时能正常访问,但打包到Docker容器后,访问localhost:3000一直显示空白页面...
- 2
回答
27浏览
Docker中运行Node应用时为什么端口映射没生效?
在用Docker跑一个Node.js项目时,明明加了端口映射-p 3000:3000,但访问localhost:3000一直显示连接被拒绝。之前成功过,今天改了Dockerfile后就挂了。 检查了容...
- 1
回答
55浏览
为什么用Nessus扫描后端API时提示“401未授权”但正常访问没问题?
我在用Nessus扫描公司内网的后端API接口时,总提示401 Unauthorized错误,但用Postman直接带相同Token访问完全没问题。 已经按文档配置了认证凭证:{ "authType"...
- 1
回答
25浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 1
回答
21浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
- 2
回答
11浏览
为什么我的Affix组件在滚动到指定位置时没有触发固定?
我用Ant Design的Affix组件给侧边栏做固定效果,设置了offsetTop=200,但实际滚动到200px时并没有触发固定状态。之前尝试用console.log跟踪didUpdate钩子,发...
- 1
回答
24浏览
Babel配置中设置targets时,为什么指定了浏览器版本却没转译某些语法?
我在项目里用Babel配置了targets为"chrome 90",但发现代码里的箭头函数() => {}仍然没被转译。明明用的是Chrome 80测试时会报错啊,这是怎么回事? 尝试过在.ba...
-port 80,8080但没指定协议,它会尝试通过标准方式判断端口是否“开放”——这里的“closed”不是指端口没监听,而是Nikto发了个HTTP请求过去没收到它认为有效的响应,就直接跳过了。根本原因是:Nikto对非标准端口(比如8080)做探测时,默认不会自动加Host头,有些Apache配置只绑定特定Host才会响应,你curl能通是因为curl默认带了Host: localhost,而Nikto没带,服务器可能返回400或者空响应,Nikto就判定为“closed”。
解决办法很简单,强制指定目标URL带上端口:
或者分开扫两次,别用逗号拼端口。用逗号的方式在某些版本里会有解析bug,尤其是混用标准和非标准端口时。
另外,-port 参数其实是“额外检测这些端口”,但它依然依赖服务响应符合HTTP规范。最稳的做法是指定完整URL,让Nikto明确知道要扫哪个host:port组合。
顺带一提,这种扫描工具在设计上为了性能,会快速失败,一旦初始请求异常就跳过,不会像curl那样重试或宽松处理,所以看着端口开着也得按它的规则来。