Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估, 提供真正的安全风险情报。这些功能包括智能开发,密码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发 现。

Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞 攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具 来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种 攻击工具,并将它们贡献给所有Metasploit用户。

Metasploit的设计初衷是打造成一个攻击工具开发平台,本书稍后将讲解如何开发攻击工具。然而在目前情况下,安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境。

本章将使用绝大部分篇幅来讲解一些Metasploit示例。为了节省篇幅,我们会对输出进行简化,只保留重要的部分,因此在本章中看到的输出结果可能会与真正运行Metasploit时看到的输出结果有所不同。

这种可以扩展的模型将负载控制,编码器,无操作生成器和漏洞整合在一起,使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。最新版本的 MSF 包含了750多种流行的操作系统应用软件漏洞,以及224个 shellcode 。作为安全工具,它在安全检测中用着不容忽视的作用,并为漏洞自动化探测和及时检测系统漏洞提供了有力保障。

Metasploit自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)上看到如何生成漏洞。这使自己编写漏洞变得更简单,它势必将提升非法shellcode的水平,并且扩大网络阴暗面。与其相似的专业漏洞工具,如Core Impact和Canvas已经被许多专业领域用户使用。Metasploit降低了使用的门槛,将其推广给大众。

2004年8月,在拉斯维加斯如开了一次世界黑客交流会---黑帽简报(Black Hat Briefings). 在这个会议上,一款叫Metasploit 的攻击和渗透工具备受众黑客关注,出尽了风头。

Metasploit 是同 HD Moore 和 Spoonm 等4名年轻人开发的,这款免费软件可以帮助黑客攻击和控制计算机,安全人员也可以利用 Metasploit 来加强系统对此类工具的攻击。

Metasploit 的演示吸引了来自“美国国防部”和“国家安全局”等政府机构的众多安全顾问和个人,正如 Spoonm 在演讲中所说的, Metasploit 很简单,只需要求“找到目标,单击和控制”即可。

2004年 Metasploit 的发布在安全界引发了强烈的“地震”。没有一款新工具能够一发布就能挤进此列表的15 强(也就是说,2000年和2003年的调查没有这种情况),更何况此工具在5强之列,超过很多广为流传的诞生了几十年的老牌工具。
 
2005年6月,西雅图效区的微软公司总部园区内的管理情报中心,如开了一次“蓝帽”会议。几百名微软公司的工程师和众多外界专家及黑客都被邀请进入微软帝国的中心。在会议中的黑客攻击演示中,当 Moore 向系统程序员们说明使用 Metasploit 测试系统对抗入侵时的可靠程度时,Metasploit 让微软公司的开发人员再次感到不安。在程序员们看来,Metasploit 将会使系统安全面临严重的考验。
 
Metasploit Framework (MSF) 在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试,shellcode 编写和漏洞研究提供了一个可靠平台。
 
Metasploit框架直到2006年发布的2.7版本都用Perl脚本语言编写,由于Perl的一些缺陷,开发 者于2007年底使用Ruby语言重写了该框架。到2007年年底,Spoonm和马特·米勒已经离开了项目。从2008年发布的3.2版本开始,该项目 采用新的3段式BSD许可证。
 
2009年10月21号,漏洞管理解决公司Rapid7收购Metasploit项目。Rapid7承诺成立专职开发团队,仍然将源代码置于3段式BSD许可证下。
 
Metasploit的目标是,永远支持开源软件,促进社区参与,并提供最具创新性的渗透测试人员在世界各地的资源和工具。除了探索商业解决方案,致力于保持免费和开源的Metasploit框架,然而,这是一个很大的工作。

最新文章

  1. VS生成事件宏$(TargetPath) 一直为空
  2. Swift 用Delegate和Block实现回调的Demo
  3. 【原创】OPA857 TEST模式使用
  4. 第三百二十七天 how can I 坚持
  5. storm 入门
  6. tomcat集群时统计session与在线人数
  7. ZOJ 2110 Tempter of the Bone(DFS)
  8. mdk编译遇见的错误(LX4F120H),望各位指点迷津
  9. Float之谜
  10. ios中block中的探究
  11. web开发人员
  12. DeviceIoControl方式 sys和exe通信
  13. mysql的数据类型与列属性
  14. Android Matrix类以及ColorMatri
  15. CentOS下查看nginx和php的编译参数
  16. Webpack 2 视频教程 013 - 自动分离 CSS 到独立文件
  17. Google Bigtable (中文版)
  18. 快速排序-python
  19. java反射调用dubbo接口
  20. Spring框架中的Quartz定时任务使用笔记(通过@Scheduled注解的方式实现)

热门文章

  1. skynet是什么
  2. mysql中查询某字段所在的表方法
  3. nyoj 24 素数距离问题
  4. JQ动画事件
  5. 使用普通Windows服务创建Quartz.Net服务项目
  6. ASP.NET CompareValidator 控件在VS2012中出错的问题
  7. switch case实现两个数的算术运算
  8. Google C++编程风格指南
  9. MasterCard信用卡测试卡号-creditcard-1
  10. jQuery EasyUI 提示框(Messager)用法