昨天介紹了一個開源的網頁弱點掃描工具Nikto,
也說明了一下弱點掃描可分兩種,網站型跟與系統型的,
今天要來介紹的就是系統(或稱主機)弱點掃描的知名軟體Nessus。
Nessus為一款系統弱點掃描與分析軟體,
可偵測並評估系統基礎架構內的設定配置、弱點和威脅。
全稱應該叫Tenable® Nessus,Tenable是其公司名。
同性質的其他軟體有Qualys, SAINT, INFRA Security Scanner, Nexpose等等,
我不確定Nessus算不算全球最大系統弱掃的領導品牌,
不過真的算是很知名,在一些網路教學與影片中也偶爾會看見,
除此之外我聽過的大概就是Rapid7的Nexpose。
雖然說與昨天Nikto是不同性質的弱掃工具,
但是Nessus的介面跟產出結果真的都是比較好看。
Nessus的介面比較特別,要用瀏覽器開啟使用,
這樣其實方便不同電腦使用,或是用虛擬機操作,
也就是可以分成Server與client端去操作,
當然也是可以都在同一台電腦使用。
用講的可能大家不理解,總是下載試試看就知道了XDDD
官網可以下載然後申請啟動序號。
畢竟就是自動化掃描工具,應該算是可以滿快上手的工具。
那利用系統弱點掃描工具掃出來的弱點漏洞,
就可以利用專門的工具去進行漏洞利用,嘗試攻擊。
同場加映:
這邊要提一套同樣性質的弱掃工具OpenVas,
而為什麼要提到它呢?
因為它其實算是Nessus的好兄弟阿。
原本的Nessus是一套開源軟體,一直到2005年,
Nessus改版Nessus 3取消開源成為了收費的商業軟體,
這時候就出了一個新兄弟叫OpenVas,
OpenVas是基於Nessus 2的原始碼發展下去的開源弱掃軟體。
本文為作者參與第 11 屆 iT 邦幫忙鐵人賽的文章
原文連結 https://ithelp.ithome.com.tw/users/20114110/ironman/2536