在本章中,我们将学习如何验证我们从漏洞扫描程序(如Nexpose)中发现的漏洞.此过程也称为漏洞分析.
如下面的屏幕截图所示,漏洞扫描程序有时会为您提供数百个漏洞.在这种情况下,验证每个漏洞可能非常耗时.
Metasploit Pro具有一项名为漏洞验证的功能,可帮助您通过自动验证漏洞来节省时间,并概述可能对您造成严重危害的最重要漏洞你的系统.它还可以根据严重程度对漏洞进行分类.
让我们看看如何使用此选项.打开Metasploit Pro Web控制台 → 项目 → 漏洞验证.
接下来,输入项目名称和提供有关该项目的简单描述.然后,单击开始按钮.
点击"从Nexpose拉".选择"导入现有的Nexpose漏洞数据",如以下屏幕截图所示.
点击Tag → 由OS自动标记.它将为您分离漏洞.
接下来,转到 Exploit → 会话并选中"完成后清理会话"选项.这意味着当检查漏洞时,Metasploit机器和易受攻击的机器之间将进行交互.
单击生成报告 → 开始.
接下来,你将看到验证向导.在这里,您需要点击推送验证按钮.
在您测试了所有漏洞列表后,您将看到以下屏幕.
要查看已测试漏洞的结果,请转到Home → 项目名称 → 漏洞.
