《Metasploit渗透测试魔鬼训练营》总结 (一)
-
渗透测试(Penetration Testing)是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。渗透测试具有两种基本类型:黑盒测试与白盒测试,结合两者的为灰盒测试。
-
要想完成一次质量很高的渗透测试过程,渗透测试团队需要掌握一套完整和正确的渗透测试方法学。目前业界流行的渗透测试方法学有OSSTMM、NIST SP800-42、OWASP TOP 10、WASC-TC和PTES等。
-
渗透测试主要包括前期交互、情报搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击和报告7个阶段。
渗透测试流程中最核心和基本的内容是找出目标系统中存在的安全漏洞,并实施渗透攻击。 -
Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展成熟的漏洞研究与渗透代码开发平台,此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境。
-
Metasploit是由HD Moore于2003年创建的开源项目,2004年发布Metasploit v2版本并被黑客社区广泛接受,2006年以黑马姿态跻身SecTools最受欢迎安全工具五强之列,2007年发布了以Ruby语言完全重写后的v3版本,目前最新的v4版本是2011年发布的(截至作者写书时),截至2013年4月,最新版本是v4.6.0。
-
Metasploit框架中最重要的是辅助模块、渗透攻击模块、后渗透攻击模块、攻击载荷模块、空指令模块和编码器模块这六类模块组件,提供了多种使用接口和一系列的功能程序,支持与大量第三方安全工具进行集成应用。
-
Metasploit最方便的使用平台是kali,功能最强大的使用接口是MSF终端。