Nessus部署、使用与原理分析

已于 2024-10-16 14:30:12 修改
阅读量1.8k 收藏 25
点赞数 28
分类专栏: 网络安全 应用漏洞检测工具 文章标签: Nessus 漏洞检测 渗透测试 应用漏洞检测 靶机测试 漏洞扫描工具 网络安全
于 2024-10-15 14:42:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IronmanJay/article/details/142935901
版权

文章目录

前言

  本博客的主要内容为Nessus的部署、使用与原理分析。本博文内容较长,因为涵盖了Nessus的几乎全部内容,从部署的详细过程到如何使用Nessus进行漏洞检测,以及对Nessus进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对Nessus有更深的了解。以下就是本篇博客的全部内容了。

1、概述

  Nessus是一种广泛使用的漏洞扫描工具,用于评估计算机系统、网络和应用程序的安全性。它能够自动扫描系统以发现可能的漏洞、弱点和安全风险,并生成详细的报告,以帮助安全专业人员识别和解决这些问题。Nessus具有强大的功能和灵活性,可用于企业级和个人用户,是许多安全团队的重要工具之一。其特点如下:

  • 漏洞扫描:Nessus能够自动扫描目标系统,识别可能存在的漏洞、弱点和安全风险。它支持对操作系统、网络设备、数据库、Web应用程序等各种类型的目标进行扫描。
  • 广泛的漏洞库:Nessus内置了一个庞大的漏洞库,包含数千种已知的漏洞和安全问题的签名。这使得它能够识别各种不同类型的漏洞,包括操作系统漏洞、服务漏洞、配置错误等。
  • 定制化和灵活性:Nessus允许用户根据需要进行定制化配置,包括指定扫描目标、设置扫描策略、调整扫描强度等。这使得它可以适应不同规模和类型的网络环境。
  • 自动化和报告:Nessus能够自动化执行扫描任务,并生成详细的报告,展示发现的漏洞、风险等信息。报告通常包括漏洞描述、影响程度、建议的修复措施等内容,有助于安全团队追踪和解决问题。
  • 整合性: Nessus可以与其他安全工具和系统集成,例如安全信息和事件管理系统(SIEM)、补丁管理系统等,以实现更全面的安全监控和管理。

  总的来说,Nessus是一款功能强大、灵活性高的漏洞扫描工具,被广泛应用于企业和组织的安全评估和管理中。

2、安装与使用

软件环境硬件环境约束条件
Ubuntu 22.04.1 LTS(内核版本5.15.0-43-generic)内存16GBNessus 10.7.2
具体的软件环境可见“2.1、二进制安装”章节所示的软件环境共分配4个处理器,每个处理器4个内核,共16个处理器内核具体的约束条件可见“2.1、二进制安装”章节所示的软件版本约束
暂无硬盘200GB暂无
暂无Nessus部署在VMware Pro 17上的Ubuntu 22.04.1系统上(主机系统为Windows11),硬件环境和软件环境也是对应的VMware Pro 17的硬件环境和软件环境暂无

2.1、二进制安装

2.1.1、部署系统依赖组件

  1. 执行如下命令下载安装系统依赖组件:
$ sudo apt-get update
$ sudo apt install wget apt-transport-https gnupg2 software-properties-common -y
$ sudo apt-get install curl -y

2.1.2、使用二进制安装系统

  1. 首先来到当前用户的根目录中,并下载Nessus的安装包:
$ cd ~
$ curl --request GET --url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.7.2-ubuntu1404_amd64.deb' --output 'Nessus-10.7.2-ubuntu1404_amd64.deb'
  1. 然后执行如下命令来安装Nessus:
$ sudo dpkg -i Nessus-10.7.2-ubuntu1404_amd64.deb
  1. 然后执行如下命令来启动Nessus:
$ sudo systemctl enable --now nessusd
  1. 然后使用如下命令查看Nessus是否启动成功:
$ sudo systemctl status nessusd

  1. 可以发现,Nessus已经启动成功了:
    在这里插入图片描述

  2. 为了可以正常使用Nessus,我们顺序执行如下命令:

$ sudo ufw allow 8834/tcp
$ sudo ufw enable
  1. 然后使用浏览器访问如下网址:
https://localhost:8834/

  1. 然后按照下图进行选择即可:
    在这里插入图片描述

  2. 然后按照如下图所示进行选择:
    在这里插入图片描述

  3. 然后按照如下图所示进行选择:
    在这里插入图片描述

  4. 填写所需信息后,按照如下图所示进行选择:
    在这里插入图片描述

  5. 然后保存激活码(我的激活码为“ZVBW-MBQN-6RBB-KVNQ-JJ2J”),并按照如下图所示进行选择:
    在这里插入图片描述

  6. 然后填写用户名和密码,并按照如下图所示进行选择:
    在这里插入图片描述

  7. 然后等待Nessus进行初始化:
    在这里插入图片描述

  8. 最终会来到如下图所示的界面,这就代表Nessus部署完毕了:
    在这里插入图片描述

2.2、使用方法

  1. 首先按照如下图所示进行选择,以创建一个新的扫描:
    在这里插入图片描述

  2. 在这里可以选择漏洞检测对象,比如我们在这里准备对主机进行扫描,那么就按照如下图所示进行选择:
    在这里插入图片描述

  3. 然后填写对应信息即可,在这里比较重要的就是“Targets”这个需要填写的内容,这就是我们要扫描目标的IP地址,由于我们在这里扫描本地主机,故填写的IP地址为“127.0.0.1”。其余信息都是属于标识性信息,读者自己可以看懂就行。填写完信息后,保存此次设置信息。
    在这里插入图片描述

  4. 然后在Nessus的Web页面就可以看到此次设置的信息,此时我们只需要启动此次对主机的漏洞扫描即可。
    在这里插入图片描述

  5. 扫描完成后,点击此次漏洞扫描的名称即可查看漏洞扫描结果:
    在这里插入图片描述

  6. 可以按照如下图所示进行选择,以查看扫描到的具体漏洞(由于我当前的扫描目标没有漏洞,所以扫描不到,若想扫描到具体漏洞,可以找一个靶机进行漏洞扫描):
    在这里插入图片描述

3、测试用例

3.1、主机扫描

  1. 首先按照如下图所示进行选择,以创建一个新的扫描:
    在这里插入图片描述

  2. 在这里可以选择漏洞检测对象,因为我们在这里准备对主机进行扫描,那么就按照如下图所示进行选择:
    在这里插入图片描述

  3. 然后填写对应信息即可,在这里比较重要的就是“Targets”这个需要填写的内容,这就是我们要扫描目标的IP地址,由于我们在这里扫描本地主机,故填写的IP地址为“127.0.0.1”。其余信息都是属于标识性信息,读者自己可以看懂就行。填写完信息后,保存此次设置信息。
    在这里插入图片描述

  4. 然后在Nessus的Web页面就可以看到此次设置的信息,此时我们只需要启动此次对主机的漏洞扫描即可。
    在这里插入图片描述

  5. 扫描完成后,点击此次漏洞扫描的名称即可查看漏洞扫描结果:
    在这里插入图片描述

  6. 可以按照如下图所示进行选择,以查看扫描到的具体漏洞:
    在这里插入图片描述

3.2、网络扫描

  1. 首先按照如下图所示进行选择,以创建一个新的扫描:
    在这里插入图片描述

  2. 在这里可以选择漏洞检测对象,因为我们在这里准备对网络进行扫描,那么就按照如下图所示进行选择:
    在这里插入图片描述

  3. 然后填写对应信息即可,在这里比较重要的就是“Targets”这个需要填写的内容,这就是我们要扫描目标的IP地址,由于我们在这里扫描本地网络,故填写的IP地址为“127.0.0.1”。其余信息都是属于标识性信息,读者自己可以看懂就行。填写完信息后,保存此次设置信息。
    在这里插入图片描述

  4. 然后在Nessus的Web页面就可以看到此次设置的信息,此时我们只需要启动此次对网络的漏洞扫描即可。
    在这里插入图片描述

  5. 扫描完成后,点击此次漏洞扫描的名称即可查看漏洞扫描结果:
    在这里插入图片描述

  6. 可以按照如下图所示进行选择,以查看扫描到的具体漏洞:
    在这里插入图片描述

3.3、配置扫描

  1. 首先按照如下图所示进行选择,以创建一个新的扫描:
    在这里插入图片描述

  2. 在这里可以选择漏洞检测对象,比如我们在这里准备对配置进行扫描,那么就按照如下图所示进行选择:
    在这里插入图片描述

  3. 然后填写对应信息即可,在这里比较重要的就是“Targets”这个需要填写的内容,这就是我们要扫描目标的IP地址,由于我们在这里扫描本地配置,故填写的IP地址为“127.0.0.1”。其余信息都是属于标识性信息,读者自己可以看懂就行。填写完信息后,保存此次设置信息。
    在这里插入图片描述

  4. 然后在Nessus的Web页面就可以看到此次设置的信息,此时我们只需要启动此次对配置的漏洞扫描即可。
    在这里插入图片描述

  5. 扫描完成后,点击此次漏洞扫描的名称即可查看漏洞扫描结果:
    在这里插入图片描述

  6. 可以按照如下图所示进行选择,以查看扫描到的具体漏洞:
    在这里插入图片描述

4、总结

4.1、Nessus检测的漏洞对象

  在Nessus的Web界面中,展示了Nessus可以检测到的漏洞类型。可以发现Nessus可以检测到的漏洞对象很多,如下图所示。

在这里插入图片描述

  可以发现,Nessus可以检测主机上的漏洞、移动设备上的漏洞和Web应用中的漏洞等,此外Nessus还可以针对具体漏洞进行扫描。这些信息上图已经描述的非常详细了。此外,Nessus还可以进行合规性检查,其检查对象如下图所示。

在这里插入图片描述

4.2、Nessus的漏洞信息来源

  Nessus的漏洞数据库保存在“/opt/nessus/var/nessus/”目录中。这里包含最新的漏洞信息,如下图所示。

在这里插入图片描述

  不过由于这些数据库都以二进制的形式保存,所以我们也无法查看其中内容,故无法得到Nessus的具体漏洞信息来源。

5、参考文献

  1. Download Tenable Nessus | Tenable®
  2. Ubuntu 20.04 离线安装破解 Nessus 10.3.0
  3. 如何在 Ubuntu 22.04 LTS 上安装 Nessus 安全扫描程序
  4. 漏洞扫描工具Nessus详细使用教程
  5. 【黑客工具】漏洞扫描之Nessus使用教程(超详细)
  6. 渗透测试神器Nessus使用教程

总结

  以上就是本篇博文的全部内容,可以发现,Nessus的部署与使用过程并不复杂,我们本篇博客对其进行了详细的分析。相信读完本篇博客,各位读者一定对Nessus有了更深的了解。

Kali-linux使用Nessus
weixin_33966365的博客
04-18 5884
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。所以,本章将介绍安装、配置并启动Nessus。 5.1.1 安装和配置Nessus 为了定位在目标系统上的漏洞,...
Nessus8.0.1使用教程
guo_yan_gy的博客
03-27 5万+
1、 打开浏览器输入IP加端口8834登录Nessus 2、 输入账号密码,均为admin 3、 登录成功后,进入到首页 4、 点击侧边栏policies,显示策略界面 5、 点击new policy,显示策略模板 6、 选择advanced scan,填写策略名称 7、 点击permission,选择can use,设置所有人可用 8、 单击Plugins标签,该界面显示了所有插件程...
Kali 安装 Nessus 详细过程
热门推荐
Erik_ly的博客
05-17 9万+
详细介绍在 Kali 中安装 Nessus 的详细过程步骤以及插件下载失败解决方法
nessus使用手册
11-15
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。所以,本章将介绍安装、配置并启动Nessus
# 【黑客工具漏洞扫描Nessus使用教程(超详细)
最新发布
m0_61869253的博客
03-16 984
Nessus是十分强大的漏洞扫描器,内含最新的漏洞数据库,检测速度快,准确性高。下载地址:https://www.tenable.com/downloads/nessus1.点击"Connent via SSL"编辑2.选择"Nessus Essentials"版本编辑3.填写注册信息,然后点击"Email",nessus会给你发送一封邮件,包含code。编辑4.填写code,然后下载所需要的组件,下载完成进行登录。编辑。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2101
渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Nessus详细使用教程
星落的博客
05-07 9万+
Nessus简介 Nessus是十分强大的漏洞扫描器,内含最新的漏洞数据库,检测速度快,准确性高。 下载地址:https://www.tenable.com/downloads/nessus 账号注册 1.点击"Connent via SSL" 2.选择"Nessus Essentials"版本 3.填写注册信息,然后点击"Email",nessus会给你发送一封邮件,包...
Nessus部署使用.docx
09-10
Nessus部署使用详解】 Nessus是一款强大的远程安全扫描器,因其广泛的漏洞检测范围、高准确性和快速扫描速度而备受推崇。它的工作原理是利用插件模拟黑客攻击行为,对目标系统进行安全扫描,以发现潜在的弱点,...
使用Nessus工具
06-24
- Nessus生成的大量数据可通过电子表格软件等工具进行整理和分析,便于后续处理。 - 对于复杂的环境,可以采用自动化工具或脚本来优化数据管理流程,提高效率。 - **SANS Top 20扫描**: - SANS Top 20是一份列...
Nessus自定义漏洞检测:编写部署自定义Nessus脚本
文章首先概述了Nessus漏洞检测机制和脚本语言基础,然后深入探讨了Nessus插件的类型结构、自定义脚本的编写原理,包括漏洞识别验证流程。接着,通过具体的编写步骤和测试调试方法,指导读者如何撰写并优化...
Nessus进阶篇】:深入理解Nessus的工作原理核心优势
本文详细介绍了Nessus漏洞扫描器的功能、工作原理、优势特色以及在企业环境中的部署管理。通过对Nessus扫描流程、插件机制以及核心组件的分析,文章深入探讨了Nessus的定制化扫描、报告生成、认证授权、集成自动化...
Nessus使用说明
05-08
Nessus使用说明Nessus使用说明Nessus使用说明
nessus使用方法
06-11
简单的使用nessus技巧,网上习得,初级者可以学习,不太实用,但有效果。
NESSUS安装部署使用手册V2.0
05-24
NESSUS安装部署使用手册V2.0,安全部署使用手册,菜鸟必备
nessus-使用技巧
10-31
nessus-使用技巧,nessus介绍,nessus工具测试防范方法
Nessus其他漏洞管理工具的比较分析
本论文旨在全面分析和评估Nessus这一漏洞管理工具的核心功能优势,并通过其他主流工具如OpenVAS和Qualys的对比,探讨它们的特性、应用场景及其对用户的影响。文章对Nessus的工作原理、专业功能和用户体验进行...
Nessus安装使用
m0_61506558的博客
09-11 3万+
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一.(一)kali安装Nessus
nessus使用
qq_61988806的博客
01-09 287
nessus使用
第一种:Nessus-使用(二)
欢迎来到本博客!
11-14 3796
【代码】第一种:Nessus-使用(二)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IronmanJay

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值