Nessus 扫描web服务

Posted 2023-04-03 私ははいしゃ敗者です

系列文章

Nessus介绍与安装
Nessus Host Discovery
Nessus 高级扫描

Nessus 扫描web服务

1.启动nessus

cd nessus
sh qd_nessus.sh

2.进入nessus网站

https://192.168.3.47:8834/

3.点击【New Scan】

4.点击【Web应用程序测试】

5.输入name【web扫描】，描述【web扫描】，目标【127.0.0.1】

6.点击【发现】

7.选择扫描类型【端口扫描(常用端口)】

8.点击【评估】

9.扫描类型选择【扫描所有web漏洞(快速)】

10.点击【证书】

11.点击【HTTP】

12.选择身份验证方法【自动认证】

13.输入用户名【xiaogang】，密码【123456】（需要扫描网站的用户名和密码）

14.点击【插件】

15.确认是否在可用的扫描插件

16.点击【保存】

17.选择【web扫描】，点击后边的【小三角】

18.点击【web扫描】

19.等待扫描完成

Nessus漏洞扫描教程之安装Nessus工具

Nessus基础知识

Nessus号称是世界上最流行的漏洞扫描程序，全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件，Nessus可同时在本机或远端上遥控，进行系统的漏洞分析扫描。对应渗透测试人员来说，Nessus是必不可少的工具之一。

Nessus概述

Nessus通常包括成千上万的最新的漏洞，各种各样的扫描选项，及易于使用的图形界面和有效的报告。Nessus之所以被人们喜爱，是因为该工具具有几个特点。如下所示：

• 提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。
• 不同于传统的漏洞扫描软件。Nessus可同时在本机或远程控制，进行系统的漏洞分析扫描。
• 其运作效能随着系统的资源而自行调整。如果将主机配置更多的资源（如加快CPU速度或增加内存大小），其效率表现可因为丰富资源而提高。
• 可自行定义插件。
• NASL（Nessus Attack Scripting Language）是由Tenable所发出的语言，用来写入Nessus的安全测试选项。
• 完全支持SSL（Secure Socket Layer）。

获取Nessus软件包

在安装Nessus工具之前，首先要获取该工具的安装包。而且，Nessus工具安装后，必须要激活才可使用。所以，下面将分别介绍获取Nessus安装包和激活码的方法。

1.获取Nessus安装包

Nessus的官方下载地址是：

http://www.tenable.com/products/nessus/select-your-operating-system
2.下载Nessus软件包

从该界面可以看到Nessus有两个版本，分别是Home（家庭版）和Professional（专业版）。这两个版本的区别如下所示：

• 家庭版：家庭版是免费的，主要是供非商业性或个人使用。该版比较适合个人使用，并且可以用于非专业的环境。
• 专业版：专业版是需要付费的。但是，可以免费使用七天。该版主要是供商业人士使用。它包括技术支持或附加功能，如无线并发连接等。

.获取激活码

在使用Nessus之前，必须先激活该服务才可使用。如果要激活Nessus服务，则需要到官网获取一个激活码。下面将介绍获取激活码的方法。具体操作步骤如下所示：

（1）在浏览器中输入以下地址：

http://www.nessus.org/products/nessus/nessus-plugins/obtain-an-activation-code

成功访问以上链接后，将打开如图所示的界面。

（2）在该界面单击Nessus Home Free下面的Register Now按钮，将显示如图所示的界面。

（3）在该界面填写一些信息，为了获取激活码。在该界面First Name和Last Name文本框中，用户可以任意填写。但是，Email下的文本框必须填写一个合法的邮件地址，用来获取邮件。当以上信息设置完成后，单击Register按钮。接下来，将会在注册的邮箱中收到一份关于Nessus的邮件。进入邮箱打开收到的邮件，将会看到一串数字，类似XXXX-XXXX-XXXX-XXXX，即激活码。

（4）当成功安装Nessus工具后，就可以使用以上获取到的激活码来激活该服务了。