Nessus下载安装及使用教程
2011-04-06 22:45
]Nessus下载安装及使用教程
看到Nessus发布了最新版本:4.2.0,而我笔记本电脑安装的还是4.0.2,于是下载了个,装在虚拟机看看。
关于Nessus游侠就不多说了,作为这个星球上最知名的网络隐患扫描系统(并且可以免费使用),Nessus居然没有中文版……这一点……下面我简单的说下Nessus 4.2.0的安装、使用。
Nessus 4.2.0下载地址:/download/
我下载的是Nessus 4.2.0 for Windows的版本,广泛适用于Windows XP, 2003, Vista, 2008 & 7,有32 bit64 bit的可以用,按照自己需求下载就可以了,我下载的32 bit的。
安装不说了,相信看本文的都会,如果不会——建议本Windows基础看看
装完后,在菜单选择:

当然,你需要获取一个activation code”,这个在上图点击后的主界面获取就OK了。
下一步,需要Update Plugins”,简单说就是升级插件,也就是漏洞库升级。需要周期较长,需要等待,淡定的等待……可以在论坛灌灌水、可以在农场偷偷菜!总之时间较长,需要淡定!

升级完后,点上图的Manage Users”,添加一个属于你的账户。添加界面如下图:

Nessus 4.2.0和上一个版本4.0.2最大的区别就是从C/S模式改为了B/S模式,就是说你访问系统的时候可以直接通过浏览器,而不必要再安装一个可执行文件,远程的计算机也可以访问。在上面的帐号添加好之后,打开浏览器,输入你安装Nessus主机的地址,主要是https方式而不是http方式访问,端口是8834,如我的访问地址就是:192.168.1.121:8834/,输入刚添加的帐号和密码就Ok了。
主界面上面有4个按钮,分别是:Reports(报表)、Scans(扫描)、Policies(策略)、User(用户),其实也很简单,一眼就能看出来有什么作用。在User我们能进行用户的管理,增加、修改、删除账号,如:UserAdd则会提示:

输入相关信息即可,当然你可以选择这个账号是否是Administrator(管理员)。
要进行安全评估,则首先要制定扫描策略,然后添加扫描范围,才能进行扫描,扫描完毕可以查看报表。就是上面说的几个按钮的用途。下面我们增加扫描策略:PoliciesAdd

基本上只要写Name”即可,如果选择了VisibilityShared,则别人也可以利用你这个策略进行扫描。填好后Next”即可看到下面的界面:

我现在要扫描Windows主机,则在最上面选择Windows Credentials”即可,下面的可以为空。然后Next

选择Families”即可,就是你要扫描什么设备,实际上如果只扫描跑WEB服务的Windows主机,选择下面四个就可以了。选择好后Next”,下一步可以设置数据库信息,不写了,直接Submit”就完成。
添加完策略后,增加一个扫描任务,ScanSAdd

输入扫描任务的名称、选择我们刚才建立的策略、输入扫描目标(IP或域名)后点Launch Scan”,扫描任务就开始了!亲爱的,我们现在就正在扫描了!新手激动?嘿嘿
一会儿就扫描完了,扫描过程中可以在Scans”和 Reports”查看状态,扫描完后就可以在Reports下面看到StatusCompleted”。

这时候双击WEB Server — YouXia”就可以查看报告了。

左侧的Download Report”可以下载评估报告;Show Filters”可以设置过滤器,比如只显示高级别报警,这样就可以按照威胁级别进行准确筛选。
双击Host”可以列出详细的漏洞评估报告。如哪个端口存在威胁,级别是多少。你在这里依然可以双击,双击某个端口就可以显示详细信息。我在这里选择1433。双击后可以列出有3个高级别报警。

双击某一个可以显示详情。

概要、描述、方案、CVSSCVE编号等,当然你可以选择Download Report”导出你生成的日志到本机保存,这样更便于分析。
cve漏洞库好了,各位,Nessus 4.2.0就说到这里,主要是和上个版本相比,评估人员控制台从C/S变成了B/S,更适合大项目多人协作评估,界面也更加友好。是不是跃跃欲试了?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。