一款号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。所以,本章将介绍安装、配置并启动Nessus。
官网:https://www.tenable.com/downloads/nessus
参考:https://www.cnblogs.com/cheyunhua/p/8084459.html
7.1.1扫描本地漏洞
在前面介绍了Nessus的安装、配置、登录及新建策略和扫描任务,现在可以开始第一次测试组的安全漏洞。对于新建策略和扫描任务这里就不再赘述,本小节中只列出扫描本地漏洞所需添加的插件程序及分析扫描信息。
【实例7-1】扫描本地漏洞具体操作步骤如下所示。
(1)新建名为Local Vulnerability Assessment策略。
(2)添加所需的插件程序。
Ubuntu Local Security Checks:扫描本地Ubuntu安全检查。
Default Unix Accounts:扫描默认Unix账户。
(3)新建名为Sample Scan扫描任务。
7.1.2扫描网络漏洞
如果用户想要使用Nessus攻击一个大范围的漏洞,需要配置评估漏洞列表并指定获取信息的评估列表。本小节将介绍配置Nessus在目标主机寻找网络漏洞,这些漏洞指目标主机或其他网络协议。
(1)新建名为Internal Network Scan策略。
(2)添加所需的插件程序,如表5-1所示。
所需插件