在本章中,我们将学习如何验证从漏洞扫描程序(如Nexpose)中发现的漏洞。此过程也称为漏洞分析。
如以下屏幕快照所示,漏洞扫描程序有时可以为您提供数百个漏洞。在这种情况下,验证每个漏洞可能非常耗时。
Metasploit Pro具有称为漏洞验证的功能,可通过自动验证漏洞来帮助您节省时间,并概述可能对您的系统非常有害的最关键的漏洞。它还具有根据漏洞的严重程度对漏洞进行分类的选项。
让我们看看如何使用此选项。打开Metasploit Pro Web控制台→项目→漏洞验证。
接下来,输入项目名称并提供有关该项目的简单描述。然后,单击开始按钮。
单击“从Nexpose提取”。选择“导入现有的Nexpose漏洞数据”,如以下屏幕截图所示。
单击标记→按操作系统自动标记。它将为您分离漏洞。
接下来,转到利用→会话并检查选项“完成后清理会话”。这意味着当检查漏洞时,Metasploit计算机与易受攻击的计算机之间将发生交互。
单击生成报告→开始。
接下来,您将看到一个验证向导。在这里,您需要单击“ 推送验证”按钮。
在测试了所有漏洞列表之后,将显示以下屏幕。
要查看已测试漏洞的结果,请转到主页→项目名称→漏洞。