Nikto scan dice "Intestazione non comune"

Il tuo sito sembra utilizzare Incapsula (come dice l'intestazione x-cdn), che offusca il contenuto del sito utilizzando la tecnologia di offuscamento proprietaria per difendersi dagli scraper. Come parte della loro offuscazione, in realtà mettono parti dei contenuti della pagina in quelle intestazioni HTTP dall'aspetto casuale che poi vengono utilizzate dal Javascript sul lato client per ricostruire la pagina.

Il messaggio che Nikto dice è più di un avviso / informazioni e in questo caso non rivela alcuna vulnerabilità - l'intestazione X-cdn dice che stai usando Incapsula ma che può già essere conosciuto cercando dove si trova il record DNS puntando a, l'intestazione X-iinfo mostra informazioni specifiche su Incapsula su quale dei loro server ha servito la richiesta, e le intestazioni rimanenti sono solo normali offuscamenti.

What exactly is happening in between?

Hai provato il proxy delle richieste Nikto tramite un proxy di intercettazione (Fiddler, Burp, ecc.)?

How can I get a normal scan using Nikto?

Tipicamente Nikto lancia falsi positivi ed è meglio sintonizzarlo. Nikto normalmente è in grado di identificare le pagine Web, le interfacce di amministrazione, l'interfaccia di registrazione, ecc. Tuttavia, non userei nikto per trovare alcun attacco di iniezione. Ecco come lo eseguo tramite saltando le scansioni di iniezione :

nikto -Tuning x4 -host [HOSTS.txt] -port 80 -Format htm -o [OUTPUT.htm]