漏洞扫描与分析-Nessus

2019/10/10 Chenxin

简介

官网 https://zh-cn.tenable.com/

产品 https://zh-cn.tenable.com/products/nessus

Nessus是著名信息安全服务公司tenable推出的一款漏洞扫描与分析软件,号称是"世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它"。尽管这个扫描程序可以免费下载得到,但是要从Tenable更新到所有最新的威胁信息,每年的直接订购费用是$1,200,也就是每个月100美刀。在Linux, FreeBSD, Solaris, Mac OS X和Windows下都可以使用 Nessus。Nessus目前分为四个版本:Nessus Essentials、Nessus Professional等。其中Essentials版本为免费版本.

注册以获取激活码(也可以跳过此,在安装Nessus过程中申请)

https://zh-cn.tenable.com/products/nessus/nessus-essentials

激活码只能使用1次.下次需要重新申请.

安装

参考 https://docs.tenable.com/nessus/Content/InstallNessusLinux.htm

1.安装Kali linux

Kali Linux 在渗透测试和白帽子方面是业界领先的 Linux 发行版。默认情况下,该发行版附带了大量入侵和渗透的工具和软件,并且在全世界都得到了广泛认可.包括nmap 、Wireshark 、John the Ripper,以及Aircrack-ng.目前Kali Linux的最新版本为2019.3

1.1 下载安装镜像

https://www.kali.org/downloads/ 选择"Kali Linux 64-Bit",大约3GB.

1.2 安装

如果是虚拟机Fushion,则"创建自定虚拟机"方式.选择“Linux”->"Debian 8.x 64-bit".

1.3 修改IP,DNS,SSH,VIM初始化

参考文档"Debian类系统相关"说明.

2.安装Nessus

2.1 软件下载

https://www.tenable.com/downloads/nessus

当前版本 Nessus - 8.7.2

对应kali(Debian8)系统的版本 Nessus-8.7.2-debian6_amd64.deb (Debian 6, 7, 8, 9 / Kali Linux 1, 2017.3 AMD64)

2.2 激活码

当前邮件里的激活码

Activating Your Nessus Essentials Subscription

Your activation code for Nessus Essentials is:

4510-EDD5-AA12-B217-500B

2.3 安装

root@kali:~/下载# dpkg -i Nessus-8.7.2-debian6_amd64.deb

正在选中未选择的软件包 nessus。

(正在读取数据库 ... 系统当前共安装有 352904 个文件和目录。)

准备解压 Nessus-8.7.2-debian6_amd64.deb  ...

正在解压 nessus (8.7.2) ...

正在设置 nessus (8.7.2) ...

Unpacking Nessus Scanner Core Components...

 - You can start Nessus Scanner by typing /etc/init.d/nessusd start

 - Then go to https://kali:8834/ to configure your scanner

正在处理用于 systemd (241-7) 的触发器 ...

Nessus采用的B/S架构,进入页面 https://192.168.143.137:8834/ (kali机器的IP是137)

选择对应的Nessus版本(Essentials).输入上面的激活码.

创建用户 chanix 密码 NESSUS123

之后会自动进入 "Downloading plugins..."开始下载安装插件.(时间比较久).

如果因为网络问题,会导致安装失败,同时给出命令行尝试方式"/opt/nessus/sbin/nessuscli update"(通过加速链路安装的时候是失败的).

启停

说明,每次启动的时候,都会先初始化,会比较花时间.可能需要几十分钟.

service nessusd start

service nessusd stop

访问

https://192.168.143.137:8834/

使用方法

1.扫描

1)点击界面中的new scan

2)选择一个可用的扫描模版,一般都选择advanced scan

3)进入基本配置过程,其中name最好用英文,Description可写可不写,Folder选择My Scan,Target输入待扫描的主机ip,如192.168.2.100,除了这些基本信息还可以根据需求配置一些额外的信息

4)配置完成后进入界面,点击图中的“开始”图标开始扫描

5)点击图中的Export,可以选择要导出扫描报告的格式,一般我们都选择pdf格式

6)打开报告,查看扫描的结果和扫描到的漏洞描述

2.NESSUS的高级扫描方法

参考:https://www.freebuf.com/column/144167.html

漏洞扫描与分析-Nessus-8.7.2最新版-安装-部署-使用的更多相关文章

  1. ELK日志分析系统之Kibana7.x最新版安装与配置

    3.Kibana的简介 Kibana 让您能够自由地选择如何呈现自己的数据.Kibana 核心产品搭载了一批经典功能:柱状图.线状图.饼图.旭日图等等. 3.1.软件包下载地址:https://www ...

  2. ELK日志分析系统之logstash7.x最新版安装与配置

    2 .Logstash的简介 2.1 logstash 介绍 LogStash由JRuby语言编写,基于消息(message-based)的简单架构,并运行在Java虚拟机(JVM)上.不同于分离的代 ...

  3. ELK日志分析系统之elasticsearch7.x最新版安装与配置

    1.Elasticsearch 1.1.elasticsearch的简介 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful ...

  4. Kali Linux渗透基础知识整理(二)漏洞扫描

    Kali Linux渗透基础知识整理系列文章回顾 漏洞扫描 网络流量 Nmap Hping3 Nessus whatweb DirBuster joomscan WPScan 网络流量 网络流量就是网 ...

  5. 2018-2019 2 20165203 《网络对抗技术》Exp6 信息搜集与漏洞扫描

    2018-2019 2 20165203 <网络对抗技术>Exp6 信息搜集与漏洞扫描 实践目标 掌握信息搜集的最基础技能与常用工具的使用方法. 实践内容 (1)各种搜索技巧的应用 (2) ...

  6. web漏洞扫描工具集合

    最好用的开源Web漏洞扫描工具梳理 链接:www.freebuf.com/articles/web/155209.html 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都 ...

  7. 20155310 Exp6 信息收集与漏洞扫描

    20155310 Exp6 信息收集与漏洞扫描 基础问题回答 1.哪些组织负责DNS,IP的管理. 顶级的管理者是Internet Corporation for Assigned Names and ...

  8. 20165223《网络对抗技术》Exp6 信息搜集与漏洞扫描

    目录 -- 信息搜集与漏洞扫描 实践说明 实践目标 基础知识问答 实践内容 各种搜索技巧的应用 Google搜索引擎扫描--Google Hacking msf搜索引擎扫描--搜索网址目录结构 搜索特 ...

  9. WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用

    很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理.我们接触到的测评公司,使用的是漏洞扫描工具AppS ...

随机推荐

  1. Android 警告对话框 AlertDialog

    @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); s ...

  2. 安全框架--shiro

    安全框架--shiro 0.2 名词及含义 SecurityManager:安全管理器,由框架提供的,整个shiro框架最核心的组件. Realm:安全数据桥,类似于项目中的DAO,访问安全数据的,框 ...

  3. 关于MFC与OpenGL结合绘图区域用鼠标来控制图形的移动的坑

    原文作者:aircraft 原文链接:https://www.cnblogs.com/DOMLX/p/11773171.html 之前开发的导入多个模型,旋转,分别移动什么什么的,都是在纯OpenGL ...

  4. .NET面试题解析(9)-SQL语言基础及数据库基本原理

    见面试题 1. 索引的作用?她的优点缺点是什么? 2. 介绍存储过程基本概念和 她的优缺点? 3. 使用索引有哪些需要注意的地方? 4. 索引碎片是如何产生的?有什么危害?又该如何处理? 5. 锁的目 ...

  5. Cesium 动态绘制点线面(附源码下载)

    我写的这个点线面绘制融入了增删改的功能.其中可以通过手动点击地图进行动态绘制线面,也支持通过给定坐标数组来进行线面的增加.绘制好的线面,可以点击进行修改:以上介绍了我的大概的要给操作,下面以面的构建来 ...

  6. Dynamics CRM通过定制应用程序功能区为符合条件的实体表单增加按钮

    关注本人微信和易信公众号: 微软动态CRM专家罗勇 ,回复167或者20151029可方便获取本文,同时可以在第一时间得到我发布的最新的博文信息,follow me! 前面的博文都是为一个实体添加按钮 ...

  7. Fiddler常用设置

    1.设置抓取HTTPS请求 勾选后弹窗添加证书确认框 点击yes后,弹出警告 点击是,成功添加证书 点击OK确认,设置成功了 成功抓取到HTTPS请求 2.自定义会话框,展示GET和POST请求 3. ...

  8. Virtual Box复制虚拟机

    用惯了VM换BOX还是有点不大一样的,比如复制 我用了2个网卡,所以看起来麻烦了一次 注释了UUID 应该有更好的办法来操作,下面的看起来有点啰嗦,先凑合着这样弄... 1.关机 2.复制 3.改名称 ...

  9. V4 Reduce Transportable Tablespace Downtime using Cross Platform Incremental Backup (Doc ID 2471245.1)

    V4 Reduce Transportable Tablespace Downtime using Cross Platform Incremental Backup (Doc ID 2471245. ...

  10. Win10锁屏壁纸位置

    C:\Users\MIS\AppData\Local\Packages\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\LocalStat ...