Dzisiaj pokażemy Tobie jak skonfigurować i uruchomić program OpenVAS o który tak często nas pytacie. Narzędzie to jest darmowym skanerem podatności podobnym do przedstawionej już kiedyś aplikacji Nessus. Dzięki niemu możesz sprawdzić jakie występują luki bezpieczeństwa w audytywnej sieci i systemach operacyjnych. Umożliwi to Tobie wykrycie i dalsze wykorzystania podatności w swoich testach penetracyjnych.
Narzędzie jest oczywiście cyklicznie aktualizowane, dzięki czemu umożliwia hakerom wykrywanie w miarę bieżących luk bezpieczeństwa.
Konfiguracja OpenVAS Framework
Jak zwykle i to narzędzie wykorzystamy w naszym systemie operacyjnym Kali Linux 2016.1. Domyślnie jest ono już zainstalowane, jednak do uruchomienia wymagana jest pewna wstępna konfiguracja i dodanie użytkownika aplikacji. Program OpenVAS umożliwia pracę zarówno z poziomu lokalnej strony internetowej jak i poleceń w terminalu Linux.
Uruchomienie skanera OpenVAS w przeglądarce www
- W pierwszym kroku wydaj polecenie w terminalu Linux openvas-setup. Wstępna konfiguracja może chwilę potrwać, ponieważ często aplikacja wymaga pobrania dodatkowych plików i pewnych aktualizacji.
- Tak jak w narzędziu Nessus należy dodać użytkownika aplikacji. Wydaj polecenie openvasmd –role Admin –create-user HakerEduPL. Uwaga! Nie zapomnij sobie spisać wygenerowanego hasła dostępowego.
- Uruchom usługę skanera za pomocą polecenia openvas-start.
- Przejdź do webowego panelu swojej lokalnej instancji openvas pod adresem https://localhost:9392/.
- Jako że nie posiadasz prawdopodobnie certyfikatu SSL dla swojej domeny HTTPS, potwierdź wyjątek bezpieczeństwa dla danej witryny klikając Add Exception….
- Zaloguj się do narzędzia za pomocą wybranego w kroku 2 loginu i wygenerowanego hasła.
- Gotowe. OpenVAS przygotowany jest do pracy!
OpenVAS CLI czyli praca w konsoli
Narzędzie OpenVAS posiada również moduł do obsługi aplikacji z poziomu terminala Kali Linux. W tym przypadku również musi być uruchomiona usługa OpenVAS tak jak w kroku 3. Działa to na zasadzie zlecania pracy do wykonania lokalnemu serwerowi OpenVAS. Więcej na ten temat znajdziesz w oficjalnej dokumentacji OpenVAS-CLI.
Wideo OpenVAS
Film prezentujący możliwośći pakietu OpenVAS:
Program hakerski OpenVAS i metaspolitable 2 w Kali Linux
Podsumowanie o skanerze podatności
Po dzisiejszej szybkiej lekcji już wiesz jak uruchomić OpenVAS Framework. Polecam Tobie pobawić się tym narzędziem we własnym zakresie. Nie zapominaj nigdy o uruchomieniu usługi aplikacji, za pomocą polecenia z kroku 3. W następnych wpisach lub filmach na naszym kanale YouTube HakerEduPL powiemy nieco więcej o tym skanerze. Jednak w tej chwili odsyłamy do Ciebie do jednego z naszych poprzednich wpisów, dotyczącego innego podobnego skanera bezpieczeństwa o nazwie Nessus.
To by było dzisiaj na tyle. Powodzenia w nowym roku szkolnym! 😉
Kiedyś gdzieś widziałem ktoś pokazywał jak to używać, wydaje mi sie, że u was, albo to była wzmianka o tym we wpisie o Nessus’e, ale nie ważne, kolejny świetny wpis 😀 Pozdrawiam.
PS: Aż bym dał łapke w górę obok wpisu, może kiedyś dodacie taki zbędną pierdółkę na bloga.
Agfraz jak to jest z tymi testami penetracyjnymi? Trzeba się w czymś specjalizować czy być człowiekiem orkiestrą?
Moim zdaniem każdy informatyk to poniekąd człowiek orkiestra z pewnym specyficznym konkretnym zainteresowaniem. W Polsce z testami penetracyjnymi problem jest taki, że wymagane jest często bogate doświadczenie poparte od poprzedniego pracodawcy więc czasem ciężko wystartować. Umiejętności typu programowanie nie są często wymagane, tylko należy mieć na uwadze że wiele czynności się w informatyce automatyzuje i raczej fajnie jak ktoś potrafi pisać proste skrypty. PS nie wiem czy czytałeś więc odsyłam: https://www.haker.edu.pl/2016/03/14/jak-zostac-hakerem/
alert(’shakowałem cię miłego dnia :)’)helo
Dzięki za odpowiedź. Blog jest niezwykle interesujący, mnóstwo w nim cennych informacji. Do tego sprawiasz wrażenie osoby, która do tego czym się zajmuje ma powołanie. W czym się specjalizujesz? W web hackingu? jeśli tak to czy do twoich obowiązków należy przegląd kodu źródłowego?
Akurat ja odpisujący jestem programistą webowym :-).
Po wpisaniu apt-get install openvas
System krzyczy :
„Nie można znaleźć pakietu openvas”
Pracuje na Kali linux 2.0
Nie mam niektórych też programow.
Na stronie o konfiguracji openvas mowiliscie że ten program instaluje się automatycznie (jest domyslny)
O co chodzi ?!?!?!
Co do samej próby instalacji (chociaż openvas na pewno już masz w systemie) to pobierz Kali Linux 2016.2, ponieważ starsza Twoja wersja pewnie już posiada stare repozytoria które mogą nie działać (nie aktualne linki).
Większość aplikacji jest konsolowych, więc nie masz ich dostępnych w menu z programami. Trzeba znać program i wpisać jego nazwę.
Tutaj nigdzie we wpisie nie pisze o instalacji openvas… tylko jego konfiguracji, bo aplikacje już masz.
Ej mam pytanie? Jak wpisuje: ,,openvas-setup” to wyskakuje mi: ,,bash: openvas-setup: nie znaleziono polecenia”
Co mam zrobić?
Logi:
root@root:~# openvas-setup
bash: openvas-setup: nie znaleziono polecenia