Metasploit - Güvenlik Açığı Doğrulaması
Bu bölümde, Nexpose gibi güvenlik açığı tarayıcılarından bulduğumuz güvenlik açıklarını nasıl doğrulayacağımızı öğreneceğiz. Bu süreç aynı zamandavulnerability analysis.
Aşağıdaki ekran görüntüsünde gösterildiği gibi, bir güvenlik açığı tarayıcısı bazen size yüzlerce güvenlik açığı verebilir. Böyle bir durumda, her bir güvenlik açığını doğrulamak oldukça zaman alıcı olabilir.
Metasploit Pro'nun şu adı verilen bir özelliği vardır: Vulnerability Validationgüvenlik açıklarını otomatik olarak doğrulayarak zamandan tasarruf etmenize yardımcı olmak ve size sisteminiz için çok zararlı olabilecek en önemli güvenlik açıklarına genel bir bakış sağlamak için. Ayrıca, güvenlik açıklarını önem derecelerine göre sınıflandırma seçeneğine de sahiptir.
Bu seçeneği nasıl kullanabileceğinizi görelim. Metasploit Pro Web Konsolu → Proje → Güvenlik Açığı Doğrulaması'nı açın.
Ardından, Proje Adını girin ve proje hakkında kolay bir açıklama sağlayın. Ardından,Start buton.
"Nexpose'dan Çek" e tıklayın. Aşağıdaki ekran görüntüsünde gösterildiği gibi "Mevcut Nexpose güvenlik açığı verilerini içe aktar" ı seçin.
Etiket → İşletim Sistemine Göre Otomatik Olarak Etiketle'yi tıklayın. Güvenlik açıklarını sizin için ayıracaktır.
Sonra gidin Exploit → Sessionsve "Bittiğinde oturumları temizle" seçeneğini işaretleyin. Güvenlik açığı kontrol edildiğinde, Metasploit makinesi ile savunmasız makine arasında etkileşim olacağı anlamına gelir.
Tıklayın Generate Report → Start.
Ardından, bir Doğrulama Sihirbazı göreceksiniz. Burada,Push validations buton.
Test edilen tüm güvenlik açıklarının listesini aldıktan sonra aşağıdaki ekranı alacaksınız.
Test edilen güvenlik açıklarının sonuçlarını görmek için Ana Sayfa → Proje Adı → Güvenlik Açıkları'na gidin.