Поиск уязвимостей веб-приложения с помощью Metasploit

Metasploit Framework

Мы уже рассказывали про лучшие инструменты для поиска уязвимостей сайтов. Очень рекомендую прочитать. В этой инструкции продолжу эту тему и покажу, как использовать Metasploit для поиска уязвимостей веб-приложений.

Еще по теме: Лучшие хакерские расширения для Firefox

Поиск уязвимостей веб-приложения с помощью Metasploit

В качестве жертвы, буду использовать намерено уязвимую виртуальную машину OWASP BWA (см. также Установка OWASP BWA на VirtualBox).

Чтобы не появлялись вопросы, рекомендую, для начала, ознакомиться с подробной инструкцией по использованию Metasploit.

Чтобы запустить базу данных PostgreSQL и инициализировать базу данных Metasploit, откройте терминал Kali Linux и выполните команду:

Для запуска фреймворка Metasploit, выполните команду:

Загрузите модуль сканера веб-уязвимостей WMAP в Metasploit:

Используйте команду wmap_sites a, для добавления IP-адреса целевой машины (в моем случае – уязвимая виртуальная машина OWASP BWA):

На скрине ниже показано, как добавить цель в веб-сканер уязвимостей WMAP:

Настройка хоста в WMAP

Используйте следующие команды, чтобы установить фактическое целевое веб-приложение. Для примера, буду использовать веб-приложение Mutillidae виртуальной машины OWASP BWA:

Поиск уязвимостей веб-приложения с помощью Metasploit

Используйте следующую команду для автоматической загрузки модулей веб-сканирования из Metasploit:

На следующем скрине, вы можете видеть различные модули веб-сканирования Metasploit, которые загружаются в сканер уязвимостей WMAP:

Загрузка модулей веб-сканирования Metasploit в WMAP

После загрузки модулей, для запуска сканирования, выполните следующую команду:

После завершения сканирования, можно просмотреть список уязвимостей, обнаруженных сканером уязвимостей WMAP в Metasploit:

Чтобы просмотреть общие результаты оценки безопасности, выполните команду:

На следующем снимке экрана показан сводный список уязвимостей.

Просмотр обнаруженных веб-уязвимостей веб-приложения

Итак, вы узнали, как выполнять поиск уязвимостей веб-приложения с помощью Metasploit на Kali Linux. В следующем уроке вы узнаете, как обнаруживать уязвимости в системе безопасности с помощью сканера Nikto.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер: компьютерный ниндзя и мастер цифровых тайн.

Добавить комментарий