jpskill.com
🛠️ 開発・MCP コミュニティ

nikto

Niktoを使ってウェブサーバーの脆弱性を調べ、古いソフトウェアや危険なファイル、設定ミスなどを検出することで、ウェブサーバーのセキュリティ状態を詳しくチェックするSkill。

📜 元の英語説明(参考)

Scan web servers for vulnerabilities with Nikto. Use when a user asks to audit web server configuration, find outdated software, detect dangerous files, check for misconfigurations, or perform web server security scanning.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Niktoを使ってウェブサーバーの脆弱性を調べ、古いソフトウェアや危険なファイル、設定ミスなどを検出することで、ウェブサーバーのセキュリティ状態を詳しくチェックするSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o nikto.zip https://jpskill.com/download/15171.zip && unzip -o nikto.zip && rm nikto.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/15171.zip -OutFile "$d\nikto.zip"; Expand-Archive "$d\nikto.zip" -DestinationPath $d -Force; ri "$d\nikto.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して nikto.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → nikto フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Nikto

概要

Niktoは、7,000件以上の潜在的に危険なファイル、古いサーバーバージョン、バージョン固有の問題、およびサーバー構成の問題をチェックするウェブサーバーのスキャナーです。これは(ステルスではなく)騒々しいですが、包括的です。自動スキャナーが見落としがちな、構成ミス、デフォルトファイル、公開された管理インターフェース、および既知の脆弱なコンポーネントを検出します。

手順

ステップ 1: 基本的なスキャン

# ウェブサーバーをスキャンする
nikto -h https://target.example.com
# チェック項目:
# - サーバーのバージョンと既知の CVE
# - 危険な HTTP メソッド (PUT, DELETE, TRACE)
# - デフォルトファイル (/phpinfo.php, /server-status, /.env)
# - ディレクトリインデックス
# - 不足しているセキュリティヘッダー
# - 古いコンポーネント

# 特定のポートをスキャンする
nikto -h target.example.com -p 8080

# 複数のポートをスキャンする
nikto -h target.example.com -p 80,443,8080,8443

# SSL でスキャンする
nikto -h https://target.example.com -ssl

ステップ 2: チューニングとターゲティング

# スキャンを特定のチェックカテゴリにチューニングする
nikto -h https://target.example.com -Tuning 123456789abcde
# 1: 興味深いファイル / ログに記録されている
# 2: 構成ミス / デフォルトファイル
# 3: 情報漏洩
# 4: インジェクション (XSS/Script/HTML)
# 5: リモートファイル取得 (ウェブルート内)
# 6: サービス拒否 (本番環境ではスキップ)
# 7: リモートファイル取得 (サーバー全体)
# 8: コマンド実行 / リモートシェル
# 9: SQL インジェクション
# a: 認証バイパス
# b: ソフトウェアの識別
# c: リモートソースインクルージョン
# d: WebService
# e: 管理コンソール

# 構成ミスと情報漏洩のみをチェックする
nikto -h https://target.example.com -Tuning 23

# CGI ディレクトリに特定のワードリストを使用する
nikto -h https://target.example.com -Cgidirs "all"

# 認証されたスキャン
nikto -h https://target.example.com \
  -id admin:password123
# または cookie を使用する
nikto -h https://target.example.com \
  -cookie "session=abc123; token=xyz789"

ステップ 3: 出力と統合

# 結果を複数の形式で保存する
nikto -h https://target.example.com -o nikto-report.html -Format html
nikto -h https://target.example.com -o nikto-report.xml -Format xml
nikto -h https://target.example.com -o nikto-report.csv -Format csv

# 自動化のための JSON 出力
nikto -h https://target.example.com -o nikto-report.json -Format json

# Nmap 出力からターゲットをスキャンする
nmap -sV -p 80,443,8080 -oG - 192.168.1.0/24 | \
  grep "open" | awk '{print $2}' | \
  while read ip; do nikto -h $ip -o "nikto-$ip.html" -Format html; done

ガイドライン

  • Nikto は騒々しい — 何千ものリクエストを送信します。ステルス評価には使用しないでください。
  • Nikto を評価の早い段階で実行する — 簡単に見つかるもの (デフォルトファイル、構成ミス) を検出します。
  • チューニングカテゴリを確認する: -Tuning 23 で構成ミスのクイックスキャン、徹底的な評価のためのフルスキャン。
  • Nmap と組み合わせる: 最初にポートをスキャンし、次に検出されたウェブサーバーに対して Nikto を実行します。
  • XML/JSON 出力は、レポートツールおよび脆弱性管理プラットフォームと統合されます。
  • 誤検知は一般的です — レポートに含める前に、各調査結果を手動で検証してください。
  • -Cgidirs all を指定して実行し、レガシーの脆弱性 (ShellShock など) について CGI ディレクトリをチェックします。
  • Nikto は Burp Suite を補完します — Nikto はサーバー構成をチェックし、Burp はアプリケーションロジックをテストします。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Nikto

Overview

Nikto is a web server scanner that checks for 7,000+ potentially dangerous files, outdated server versions, version-specific problems, and server configuration issues. It's noisy (not stealthy) but comprehensive — catches misconfigurations, default files, exposed admin interfaces, and known vulnerable components that automated scanners often miss.

Instructions

Step 1: Basic Scan

# Scan a web server
nikto -h https://target.example.com
# Checks:
# - Server version and known CVEs
# - Dangerous HTTP methods (PUT, DELETE, TRACE)
# - Default files (/phpinfo.php, /server-status, /.env)
# - Directory indexing
# - Missing security headers
# - Outdated components

# Scan specific port
nikto -h target.example.com -p 8080

# Scan multiple ports
nikto -h target.example.com -p 80,443,8080,8443

# Scan with SSL
nikto -h https://target.example.com -ssl

Step 2: Tuning and Targeting

# Tune scan to specific check categories
nikto -h https://target.example.com -Tuning 123456789abcde
# 1: Interesting file / seen in logs
# 2: Misconfiguration / default file
# 3: Information disclosure
# 4: Injection (XSS/Script/HTML)
# 5: Remote file retrieval (inside web root)
# 6: Denial of service (skip in production)
# 7: Remote file retrieval (server-wide)
# 8: Command execution / remote shell
# 9: SQL injection
# a: Authentication bypass
# b: Software identification
# c: Remote source inclusion
# d: WebService
# e: Admin console

# Only check for misconfigurations and info disclosure
nikto -h https://target.example.com -Tuning 23

# Use a specific wordlist for CGI directories
nikto -h https://target.example.com -Cgidirs "all"

# Authenticated scanning
nikto -h https://target.example.com \
  -id admin:password123
# or with cookie
nikto -h https://target.example.com \
  -cookie "session=abc123; token=xyz789"

Step 3: Output and Integration

# Save results in multiple formats
nikto -h https://target.example.com -o nikto-report.html -Format html
nikto -h https://target.example.com -o nikto-report.xml -Format xml
nikto -h https://target.example.com -o nikto-report.csv -Format csv

# JSON output for automation
nikto -h https://target.example.com -o nikto-report.json -Format json

# Scan targets from Nmap output
nmap -sV -p 80,443,8080 -oG - 192.168.1.0/24 | \
  grep "open" | awk '{print $2}' | \
  while read ip; do nikto -h $ip -o "nikto-$ip.html" -Format html; done

Guidelines

  • Nikto is loud — it sends thousands of requests. Don't use it for stealth assessments.
  • Run Nikto early in the assessment — it catches low-hanging fruit (default files, misconfigs).
  • Check tuning categories: -Tuning 23 for quick misconfiguration scan, full scan for thorough assessment.
  • Combine with Nmap: scan ports first, then run Nikto against discovered web servers.
  • XML/JSON output integrates with reporting tools and vulnerability management platforms.
  • False positives are common — verify each finding manually before including in the report.
  • Run with -Cgidirs all to check CGI directories for legacy vulnerabilities (ShellShock, etc.).
  • Nikto is complementary to Burp Suite — Nikto checks server config, Burp tests application logic.