简介
OpenVAS是类似Nessus的综合型漏洞扫描器,可以用来识别远程主机、Web应用存在的各种漏洞。Nessus曾经是业内开源漏洞扫描工具的标准,在Nessus商业化不再开放源代码后,在它的原始项自中分支出openVAS开源项目。经过多年的发展,openVAS已成为当前最好用的开源漏洞扫描工具,功能非常强大,甚至可以与一些商业的漏洞扫描工具媲美。OpenVAS使用NVT(Network Vulnerabilty Test网络漏洞测试)脚本对多种远程系统(包括Windows、Linux、UNix以及Web应用程序等)的安全问题进行检测。
openvas的组件构成
1、服务器层组件:
· openvas-scanner(扫描器):负责调用各种漏洞检测插件,完成实际的扫描操作。
· openvas-manager(管理器):负责分配扫描任务,并根据扫描结果生产评估报告。
· openvas-administrator(管理者):负责管理配置信息,用户授权等相关工作。
2、客户层组件:
· openvas-cli(命令行接口):负责提供从命令行访问OpenVAS服务层程序。
· greenbone-security-assistant(安装助手):负责提供访问OpenVAS服务层的Web接口,便于通过浏览器来建立扫描任务,是使用最简便的客户层组件。
· Greenbone-Desktop-Suite(桌面套件):负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。
OpenVAS功能模块图
安装GVMOpenVAS改名为GVM了,通过以下命令进行一些更新。
apt update
apt-get update
apt dist-upgrade
通过以下命令进行gvm的安装
apt-get install gvm -y
设置
gvm-setup
更新postgresql的版本
apt-get install postgresql-13
pg_dropcluster 13 main --stop
pg_upgradecluster 12 main
再次进行设置,注意保存长串密码。
漫长的等待...
使用命令
gvm-start
打开页面
可以使用命令
gvm-check-setup
来检查是否安装成功,会分8步进行检查
以后也要常更新
WEB页面
登录
报告生成格式
Configuration->Report Formats
实战
靶机环境可查看:《MetaSploit渗透测试魔鬼训练营》之环境搭建
新建任务
Scans->Tasks
漏洞报告
www.dvssc.com
从上表可以看出暴力破解、DOS攻击、敏感信息泄露等很多问题,部分因软件版本过低等漏洞没有黏贴,高危漏洞几十个。
原文链接:https://blog.csdn.net/lady_killer9/article/details/112287791
联系客服