Phenquestions
Nexpose ist ein großartiges Tool zum Auditieren von Servern und Netzwerken auf der Suche nach Sicherheitslücken, es ermöglicht die Automatisierung von Sicherheitsaudits, kann mit Metasploit kombiniert werden und enthält einen Korrekturbericht, um gefundene Sicherheitslücken zu beheben. Es erfordert mindestens 8 GB RAM, um zu laufen.
Herunterladen von Nexpose:
Greifen Sie hier auf die Testseite von Rapid7 zu, füllen Sie das Formular aus und drücken Sie EINREICHEN.
Wählen Sie das Linux aus, indem Sie auf drücken 64-Bit und speichere die bin-Datei.
Sie erhalten eine E-Mail mit der Lizenz, speichern Sie diese.
Nexpose installieren:
Um Nexpose zu installieren, erteilen Sie der heruntergeladenen Datei Ausführungsberechtigungen, indem Sie Folgendes ausführen:
chmod +x Rapid7Setup-Linux64.BehälterDann renne:
./Rapid7Setup-Linux64.Behälter
Sie werden gefragt, ob die Installation fortgesetzt werden soll, drücken Sie EINGEBEN.
Dann werden Sie gefragt, ob Sie die Sicherheitskonsole einschließen möchten, drücken Sie EINGEBEN um es zu installieren.
Als nächstes werden Sie nach dem Verzeichnis von Nexpose gefragt. Ich empfehle, das Standardverzeichnis zu belassen, aber Sie können es ändern change. Wenn Sie das Standardverzeichnis wünschen, drücken Sie EINGEBEN.
Der folgende Bildschirm informiert über die Anforderungen von Nexpose. Sie werden benachrichtigt, wenn Ihr Gerät die Mindestanforderungen erfüllt. Drücken Sie EINGEBEN weitermachen.
Der Standardport von Nexpose ist 5432 . Wenn Sie Metasploit haben, ist Ihr Port wahrscheinlich belegt. Sie können einen beliebigen Port zuweisen. Wenn Sie die Standardeinstellung möchten, drücken Sie ENTER.
Sie werden nach persönlichen Informationen, Benutzernamen und Passwort gefragt, beantworten Sie jede Frage each.
Sagen Sie Ja, wenn Sie gefragt werden, ob Nexpose nach der Installation gestartet werden soll.
Drücken Sie nach Abschluss der Installation die EINGABETASTE, um den Installationsvorgang zu beenden.
Führen Sie den Server von Nexpose aus, indem Sie Folgendes eingeben:
systemctl starte nexposeconsole.BedienungOder
service nexposeconsole startStellen Sie sicher, dass es ausgeführt wird, indem Sie tippen
Service nexposeconsole-Status
Öffnen wir nun die Konsole, öffnen Sie in Ihrem Browser https://localhost:3780
Drücken Sie vor dem SSL-Zertifikatsfehler auf Erweitert und fügen Sie eine Ausnahme hinzu, um auf die Konsole zuzugreifen.
Es kann einige Minuten dauern, bis Nexpose gestartet wird, während die Datenbank aktualisiert wird,
Nach dem Laden wird nach Anmeldeinformationen gefragt, bevor Sie Nexpose starten, indem Sie es ausführen.
sh /opt/rapid7/nexpose/nsc/nsc.Sch
Jetzt können Sie sich mit dem Benutzernamen und Passwort anmelden, die Sie während des Installationsvorgangs angegeben haben.
Dann werden Sie nach der Lizenznummer gefragt, die Sie in Ihrem Posteingang haben, füllen Sie diese aus und klicken Sie auf MIT SCHLÜSSEL AKTIVIEREN und warte bis es aktiviert wird.
HINWEIS: Beim Schreiben dieses Tutorials habe ich die Anmeldeinformationen von Nexpose vermasselt. Ich habe keine Möglichkeit gefunden, das Passwort für die aktuelle Version von Nexpose über die Befehlszeile zurückzusetzen. Die einzige Möglichkeit, das Problem zu beheben, bestand darin, das Verzeichnis /opt/rapid7 zu entfernen und das Installationsprogramm mit einem neuen Lizenzschlüssel erneut auszuführen.
Erste Schritte mit Nexpose Security Scanner
Nachdem Sie sich bei Nexpose angemeldet haben, müssen Sie im ersten Schritt unser Ziel oder unsere Ziele hinzufügen, um dies zu tun, drücken Sie auf "Site erstellen"
Auf dem ersten Bildschirm müssen Sie nur beschreibende Informationen hinzufügen, um Ihr Ziel leicht zu identifizieren.
Nachdem Sie die informativen Daten ausgefüllt haben, klicken Sie auf ASSETS und definieren Sie Ihr Ziel wie im Bild gezeigt.
Nachdem Sie Ihr Ziel definiert haben, drücken Sie auf VORLAGEN, wir führen ein tiefes Scannen durch, vermeiden jedoch übermäßige Zeit, indem wir ein vollständiges Audit ohne Web Spider auswählen selecting.
Nach der Auswahl VOLLSTÄNDIGE AUDIT OHNE WEB SPIDER klicke auf den hellblauen Button SPEICHERE DEN SCAN. Wenn ein Bestätigungsdialogfeld dazu auffordert, den Scan zu bestätigen.
Der Scanvorgang beginnt und kann lange dauern, da wir ein vollständiges Audit ausgewählt haben.
Nach 20 Minuten unser Scan gegen LinuxHint.com beendet
Wir können das Protokoll oder zusätzliche Daten herunterladen auf ABGESCHLOSSENE VERMÖGENSWERTE Sie sehen die IP oder URL Ihres Ziels. Klicken Sie auf eine davon, um den Bericht anzuzeigen.
Nachdem Sie auf unser ASSET gedrückt haben, scrollen Sie nach unten, um nach den gefundenen Schwachstellen zu suchen.
Nexpose hat ein Problem in der SSL-Signatur von LinuxHint gefunden. Als Blog ohne wichtige Transaktionen ist das Problem irrelevant, aber es könnte eine Bedrohung für eine Website bedeuten, die sensible Informationen austauscht.
Auf der linken Seite Ihres Bildschirms sehen Sie Symbole, die das Hauptmenü anzeigen, wie im Bild gezeigt
Aus Assets können Sie Ihre Ziele bestimmen und Scans starten, wie oben beschrieben, Sie können verschiedene Vorlagen ausprobieren und Asset-Gruppen einreichen.
Die grafische grafische Benutzeroberfläche von Nexpose ist sehr intuitiv, Sie müssen nur daran denken, die nexposeconsole Dienst und /opt/rapid7/nexpose/nsc/nsc.Sch bevor Sie auf die Konsole zugreifen.
Ich hoffe, Sie fanden dieses einführende Tutorial zu Nexpose produktiv, Nexpoe ist ein großartiger Sicherheitsscanner. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux.
