Metasploit - Validação de Vulnerabilidade

Neste capítulo, aprenderemos como validar as vulnerabilidades que encontramos em scanners de vulnerabilidade como o Nexpose. Este processo também é conhecido comovulnerability analysis.

Conforme mostrado na captura de tela a seguir, um scanner de vulnerabilidade às vezes pode fornecer centenas de vulnerabilidades. Nesse caso, pode ser muito demorado validar cada vulnerabilidade.

Metasploit Pro tem um recurso chamado Vulnerability Validationpara ajudá-lo a economizar tempo, validando as vulnerabilidades automaticamente e dar a você uma visão geral das vulnerabilidades mais cruciais que podem ser muito prejudiciais para o seu sistema. Ele também tem a opção de classificar as vulnerabilidades de acordo com sua gravidade.

Vamos ver como você pode usar essa opção. Abra o console da Web Metasploit Pro → Projeto → Validação de vulnerabilidade.

Em seguida, insira o Nome do projeto e forneça uma descrição fácil sobre o projeto. Em seguida, clique noStart botão.

Clique em "Pull from Nexpose". Selecione "Importar dados de vulnerabilidade Nexpose existentes" como mostrado na imagem a seguir.

Clique em Marcar → Marcar automaticamente por sistema operacional. Isso separará as vulnerabilidades para você.

Em seguida, vá para Exploit → Sessionse marque a opção "Limpar sessões quando terminar". Isso significa que quando a vulnerabilidade for verificada, haverá interação entre a máquina Metasploit e a máquina vulnerável.

Clique Generate Report → Start.

Em seguida, você verá um Assistente de validação. Aqui, você precisa clicar noPush validations botão.

Você verá a tela a seguir depois de ter testado toda a lista de vulnerabilidades.

Para ver os resultados das vulnerabilidades testadas, vá para Home → Nome do projeto → Vulnerabilidades.