Metasploit-vulnerability-validation
Metasploit-脆弱性検証
この章では、Nexposeのような脆弱性スキャナーから発見した脆弱性を検証する方法を学びます。 このプロセスは、*脆弱性分析*とも呼ばれます。
次のスクリーンショットに示すように、脆弱性スキャナーは数百の脆弱性を提供する場合があります。 このような場合、すべての脆弱性を検証するのに非常に時間がかかる可能性があります。
Metasploit Proには Vulnerability Validation という機能があり、脆弱性を自動的に検証することで時間を節約し、システムに非常に有害な可能性のある最も重要な脆弱性の概要を示します。 また、脆弱性をその重大度に従って分類するオプションもあります。
このオプションの使用方法を見てみましょう。 Metasploit Pro Webコンソール→プロジェクト→脆弱性検証を開きます。
次に、プロジェクト名を入力し、プロジェクトに関する簡単な説明を入力します。 次に、[開始]ボタンをクリックします。
[Nexposeからプル]をクリックします。 次のスクリーンショットに示すように、「既存のNexpose脆弱性データのインポート」を選択します。
[タグ]→[OSによる自動タグ付け]をクリックします。 それはあなたのために脆弱性を分離します。
次に、*エクスプロイト→セッション*に移動し、オプション「完了時にセッションをクリーンアップ」をチェックします。 これは、脆弱性がチェックされるとき、Metasploitマシンと脆弱なマシンの間に相互作用があることを意味しています。
[レポートの生成]→[開始]をクリックします。
次に、検証ウィザードが表示されます。 ここで、 Push validations ボタンをクリックする必要があります。
テストされた脆弱性のすべてのリストを取得すると、次の画面が表示されます。
テストした脆弱性の結果を確認するには、[ホーム]→[プロジェクト名]→[脆弱性]に移動します。