【每天学会一个渗透测试工具】Nessus安装及使用指南

在这里插入图片描述

🌝博客主页:泥菩萨

💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具

其他扫描工具:

AWVS和Xray:应用漏洞扫描工具

fscan:虽然能扫主机,但比较老了

Appscan:在工作中使用不多,还要建立代理到内网

Nessus:市面上比较好的主机漏洞扫描工具

✨Nessus Essentials安装

首先需要在官网获取激活码
[Nessus获取激活码](https://www.tenable.com/products/nessus/activation-code?tns redirect=true)

选择社区版

在这里插入图片描述

填好个人信息后激活码会发送到你填写的邮箱

在这里插入图片描述

之后进入下载页面选择对应的系统版本进行下载

Nessus下载链接

安装过程

以Windows为例,下载以后是一个exe文件,双击即可安装,然后会弹出一个网页

激活过程

注意这里不需要勾选

在这里插入图片描述

选择Nessus Essentials社区版

在这里插入图片描述

已经有激活码了,点击跳过此步骤

在这里插入图片描述

输入之前申请的激活码

在这里插入图片描述

创建 Nessus 管理员用户帐户,使用此用户名和密码登录 Nessus

在这里插入图片描述

等待下载插件

在这里插入图片描述

这个时候很有可能下载失败可以搭建个tz,下载好后打开是这样的

在这里插入图片描述

🚀启动服务

进入页面后点击Scans,最常用的是高级扫描

在这里插入图片描述

进入高级扫描,熟悉一下界面,单先不要着急扫描我们去做一些配置

在这里插入图片描述

Schedule:设置有没有定时扫描

在这里插入图片描述

Port Scanning:要不要开启ping

为了提高扫描结果的准确性,应该关闭,图下是关闭状态

在这里插入图片描述

Port Scanning:指定端口扫描范围,1~65535表示全端口扫描

任何软件一定要开启全端口扫描

在这里插入图片描述

往下划点击【save】,这些都配置好以后,我们在点击【Launch/Save】进行扫描

在这里插入图片描述

扫描完成后定义了五个漏洞,从上到下分别是:

严重、高危漏洞、中危漏斗、低危漏洞、信息泄露

点进去可以查看漏洞详情

在这里插入图片描述

📖撰写企业级扫描报告

场景:A公司花钱请B公司开发一套业务系统

开发流程:A公司提供安装了基础纯净版操作系统的服务器,B公司开发人员按照需求开发业务系统,引入必要的中间件、数据库等,部署在A公司的服务器上;业务正式上线前A公司又花钱请C公司进行安全测试,发现了系统漏洞。漏洞确认后,A公司提出,既然漏洞是安全人员发现的,就继续交由安全人员进行修复。请问:A公司提出的请求是否合理?

🦹‍♀️ A公司:运维人员

👧 B公司:开发人员

🧛‍♂️ C公司:安全人员


答:不合理。安全人员(C公司)的职责把问题报告和A、B公司都确认一下,在修复过程中可以提供指导意见,直到做好了加固,确保系统这个漏洞处理完成,经过复测没有问题后在进行上线(C公司接触不到源码,也拿不到权限)


一些问题修复工作案例:

网站登录页面有弱口令:B公司修复(因为网站是B开发的)

远程桌面有弱口令:A公司修复(A提供的操作系统)

tomcat put文件上传漏洞:B公司修(B负责中间件)

责任划分:谁引入谁负责

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/353094.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【教学类-64-02】20240610色块眼力挑战(二)-2-25宫格色差10-100(10倍)(星火讯飞)

背景需求 以下的色块眼里挑战需要人工筛选图片,非常繁琐。 【教学类-64-01】20240607色块眼力挑战(一)-0-255随机底色-CSDN博客文章浏览阅读446次,点赞12次,收藏5次。【教学类-64-01】20240607色块眼力挑战&#xff…

Playwright工作原理

执行test时,有哪些关键步骤 当我们用Playwright编写一段简单的test script,代码如下所示:在test case中第一段代码就是await page.goto(xxxxx) import { test, expect } from playwright/test;test(test, async ({ page }) > {await page…

【Windows】配置Flutter开发环境

一、下载 flutter sdk 点此跳至下载官网 下载好flutter sdk,并解压到自定义的位置。 二、配置环境变量 此电脑 --> 右键 选择 属性 --> 点击 高级系统设置 --> 会弹出系统属性的窗口,点击 环境变量 按钮 1.配置加速镜像地址 PUB_HOSTED_…

为啥找对象千万别找大厂男,还好我不是大厂的。。

网上看到一大厂女员工发文说:找对象千万别找大厂男,理由说了一大堆,无非就是大厂男为了逃避带娃,以加班为由宁愿在工位上玩游戏也不愿回家。当然这种观点有的人赞同有的人反对。 网友精彩评论: --------------下面是今…

Python武器库开发-武器库篇之链接提取器(六十)

Python武器库开发-武器库篇之链接提取器(六十) 链接提取器介绍 链接提取器(Link Extractor)是一种用于从网页中提取链接的工具。它可以从网页的源代码中识别出所有的链接,并将这些链接提取出来。链接提取器可以用于各…

Maya 白膜渲染简单教程

零基础渲染小白,没关系,一篇超简单教程带你学会渲染白膜。 先打开Maya,看看面板有没有渲染器,这里以Arnold为主。 要是没有这个,就去找插件管理器, Arnold的是mtoa,在搜索栏搜,然后把…

打造精致UI界面:字体设计的妙招

字体设计是UI设计的关键模块之一。字体设计是否有效可能直接实现或破坏整个UI界面。那么,界面设计的字体设计有哪些规范呢?如何设计细节字体?本文将解释字体设计规范的可读性、可读性和可用性,并介绍UI界面中的字体设计技巧。 如…

02-ES6新语法

1. ES6 Proxy与Reflect 1.1 概述 Proxy 与 Reflect 是 ES6 为了操作对象引入的 API 。 Proxy 可以对目标对象的读取、函数调用等操作进行拦截,然后进行操作处理。它不直接操作对象,而是像代理模式,通过对象的代理对象进行操作,…

功能测试的内容与目的是什么?

在软件开发与测试过程中,功能测试是不可或缺的关键步骤,它主要关注软件产品是否能够按照设计规格和用户需求实现预定的功能。功能测试的内容与目的,简单来讲,就是验证软件的各种特性和功能是否正确、完整且符合预期,确…

docker 中 File Sharing 和Volumes 的区别

在 Docker 中,File Sharing 和 Volumes 都涉及到将文件和目录从主机系统映射到容器中,但它们的用途和实现方式有一些重要的区别: 一、简介 File Sharing 是 Docker Desktop 在 Windows 和 macOS 上的一项功能,允许你将主机文件系…

API-操作元素内容

学习目标: 掌握操作元素内容 学习内容: 操作元素内容元素innerText属性元素innerHTML属性案例 操作元素内容: DOM对象都是根据标签生成的,所以操作标签,本质上就是操作DOM对象。就是操作对象使用的点语法。如果想要修…

开源的数字孪生平台

欧洲对工业4.0的追求体现在三个方面: 数字孪生、智能制造和万物互联。 资助2440万欧元的开源数字孪生平台 源代码: http://www.gitpp.com/ccdan/dpqq-digital-twins 这套数字孪生是工业4.0整体规划中的中的一项技术,实现了一种称为“数字…

正则表达式常用表示

视频教程:10分钟快速掌握正则表达式 正则表达式在线测试工具(亲测好用):测试工具 正则表达式常用表示 限定符 a*:a出现0次或多次a:a出现1次或多次a?:a出现0次或1次a{6}:a出现6次a…

UE4_材质_雨滴涟漪效果ripple effect_ben教程

学习笔记,不喜勿喷!侵权立删,祝愿生活越来越好! 雨水落下时会产生这些非常漂亮的同心环波纹,我们要做的第一件事是创建一个单个的圆环遮罩动画,我们希望环在开始的时候在中心很小,然后放大&…

论文发表CN期刊《高考》是什么级别的刊物?

论文发表CN期刊《高考》是什么级别的刊物? 《高考》是由吉林省长春出版社主管并主办的省级教育类期刊,期刊以科教兴国战略为服务宗旨,专门反映和探索国内外教育教学和科研实践的最新成果。该期刊致力于为广大教育工作者提供一个高质量的学术…

Docker部署常见应用之SFTP服务器

文章目录 简介Dockers部署单用户多用户用户信息加密使用SSH密钥认证 参考文章 简介 atmoz/sftp 是一个基于 Docker 的 SFTP 服务镜像,它使用 OpenSSH 来提供 SFTP 服务。这个镜像支持创建单个或多个用户的 SFTP 访问,并允许用户通过 SFTP 协议安全地共享…

CAN总线仲裁(四)

​ 多设备同时发送遇到的问题 CAN总线只有一对差分信号线,同一时间只能有一个设备操作总线发送数据,若多个设备同时有发送需求,该如何分配总线资源? 解决问题的思路:制定资源分配规则,依次满足多个设备的…

空气质量预报模式系统WRF-CMAQ

空气污染问题日益受到各级政府以及社会公众的高度重视,从实时的数据监测公布到空气质量数值预报及预报产品的发布,我国在空气质量监测和预报方面取得了一定进展。随着计算机技术的高速发展、空气污染监测手段的提高和人们对大气物理化学过程认识的深入&a…

【vue大作业-端午节主题网站】【预览展示视频和详细文档】

vue大作业-端午节主题网站介绍 端午节,又称为龙舟节,是中国的传统节日之一,每年农历五月初五庆祝。这个节日不仅是纪念古代爱国诗人屈原的日子,也是家人团聚、共享美食的时刻。今天,我们非常高兴地分享一个以端午节为…

高压防触碰预警装置,工期重要还是命重要?

“说了多少遍了,不要在高压线下赶工期”吊车违规施工碰撞到高压线,导致供电线路跳闸停电事故,现场火花四溅及其危险, 高压线路被外力破坏的情况,违规施工、赶工期、视觉盲区导致线路外破等情况,想必大家也…