Metasploit - Validation de la vulnérabilité

Dans ce chapitre, nous apprendrons comment valider les vulnérabilités que nous avons trouvées à partir de scanners de vulnérabilités comme Nexpose. Ce processus est également connu sous le nom devulnerability analysis.

Comme le montre la capture d'écran suivante, un scanner de vulnérabilité peut parfois vous fournir des centaines de vulnérabilités. Dans un tel cas, la validation de chaque vulnérabilité peut prendre beaucoup de temps.

Metasploit Pro a une fonctionnalité appelée Vulnerability Validationpour vous aider à gagner du temps en validant automatiquement les vulnérabilités et vous donner un aperçu des vulnérabilités les plus cruciales qui peuvent être très nuisibles pour votre système. Il a également une option pour classer les vulnérabilités en fonction de leur gravité.

Voyons comment vous pouvez utiliser cette option. Ouvrez Metasploit Pro Web Console → Projet → Vulnerability Validation.

Ensuite, entrez le nom du projet et fournissez une description simple du projet. Ensuite, cliquez sur leStart bouton.

Cliquez sur "Extraire de Nexpose". Sélectionnez "Importer les données de vulnérabilité Nexpose existantes" comme indiqué dans la capture d'écran suivante.

Cliquez sur Étiqueter → Étiqueter automatiquement par système d'exploitation. Cela séparera les vulnérabilités pour vous.

Ensuite, allez à Exploit → Sessionset cochez l'option "Nettoyer les sessions une fois terminé". Cela signifie que lorsque la vulnérabilité sera vérifiée, il y aura interaction entre la machine Metasploit et la machine vulnérable.

Cliquez sur Generate Report → Start.

Ensuite, vous verrez un assistant de validation. Ici, vous devez cliquer sur lePush validations bouton.

Vous obtiendrez l'écran suivant après avoir testé toute la liste des vulnérabilités.

Pour voir les résultats des vulnérabilités testées, accédez à Accueil → Nom du projet → Vulnérabilités.