Luận văn Xây dựng thử nghiệm công cụ phát hiện và khai thác các lỗ hổng an ninh (Kiều Phi Hùng)
Metasploit hiện nay đã phát triển ra nhiều phiên bản khác nhau, nếu muốn sử dụng phiên bản tốt nhất với tất cả các tính năng ƣu việt nhất thì bạn phải trả chi phí sử dụng hàng năm rất lớn (khoảng 7000$-8000$/ năm) còn nếu không đủ khả năng chi trả thì chỉ có thể sử dụng phiên bản miễn phí với giao diện dòng lệnh, thiếu đi rất nhiều các tính năng hữu ích và quan trọng. Do đó mục đích của chúng tôi là phát triển mở rộng thêm tính năng tạo báo cáo về kết quả của các phiên kiểm thử an ninh theo định dạng PDF và HTML cho phiên bản mã nguồn mở miễn phí của Metasploit , vốn là một tính năng chỉ có trong phiên bản thƣơng mại đắt tiền nhất của Metasploit Pro
NỘI DUNG:
CHƢƠNG 1: TỔNG QUAN VỀ KIỂM THỬ AN NINH ............................................... 11
1.1. Khái niệm cơ bản .................................................................................................. 11
1.2. Phân loại kiểm thử an ninh ................................................................................... 11
1.2.1. Kiểm thử hộp trắng ......................................................................................... 11
1.2.2. Kiểm thử hộp đen ........................................................................................... 11
1.2.3. Kiểm thử hộp xám .......................................................................................... 11
1.3. Quy trình kiểm thử an ninh ................................................................................... 12
1.3.1. Giai đoạn khởi tạo .......................................................................................... 13
1.3.2. Đặt phạm vi .................................................................................................... 13
1.3.3. Thu thập thông tin trƣớc khi kiểm thử ............................................................ 14
1.3.4. Tuyên bố công việc ........................................................................................ 15
1.3.5. Quyền kiểm thử chuyên sâu ............................................................................ 15
1.3.6. Thực thi kiểm thử ........................................................................................... 15
1.3.7. Báo cáo kiểm thử an ninh ............................................................................... 15
CHƢƠNG 2: TỔNG QUAN VỀ METASPLOIT............................................................ 17
2.1. Khái niệm cơ bản .................................................................................................. 17
2.2. Lịch sử Metasploit ................................................................................................ 17
2.3. Các phiên bản của Metasploit ............................................................................... 18
2.4. Metasploit Framework .......................................................................................... 20
2.4.1. Tổng quan về Metasploit Framework ............................................................. 20
2.4.2. Cấu trúc của Metasploit Framework ............................................................... 23
2.4.3. Quy trình kiểm thử trên Metasploit Framework .............................................. 24
CHƢƠNG 3: MỞ RỘNG TÍNH NĂNG TẠO BÁO CÁO CHO METASPLOIT
FRAMEWORK .............................................................................................................. 25
5
3.1. Xác định chuẩn báo cáo trong Metasploit Pro ....................................................... 26
3.1.1. Chuẩn PCI ...................................................................................................... 27
3.1.2. Chuẩn FISMA ................................................................................................ 27
3.2. Xác định các loại báo trên Metasploit Pro ............................................................. 28
3.3. Chuẩn bị dữ liệu để kết xuất ................................................................................. 29
3.3.1. Chuẩn bị dữ liệu tấn công kiểm thử ................................................................ 29
3.3.2. Tấn công kiểm thử .......................................................................................... 29
3.4. Thiết kế công cụ tạo báo cáo ................................................................................. 35
3.4.1. Phân tích......................................................................................................... 35
3.4.2. Đƣa ra giải pháp ............................................................................................. 38
3.4.3. Thiết kế Logic ................................................................................................ 39
3.5. Viết chƣơng trình và chạy thử nghiệm công cụ ..................................................... 45
3.5.1. Viết chƣơng trình ........................................................................................... 45
3.5.2. Chạy thử nghiệm công cụ ............................................................................... 49
3.5.3. Kết quả đạt đƣợc ............................................................................................ 54
CHƢƠNG 4: KÊT LUẬN .............................................................................................. 60
TÀI LIỆU THAM KHẢO.
Metasploit hiện nay đã phát triển ra nhiều phiên bản khác nhau, nếu muốn sử dụng phiên bản tốt nhất với tất cả các tính năng ƣu việt nhất thì bạn phải trả chi phí sử dụng hàng năm rất lớn (khoảng 7000$-8000$/ năm) còn nếu không đủ khả năng chi trả thì chỉ có thể sử dụng phiên bản miễn phí với giao diện dòng lệnh, thiếu đi rất nhiều các tính năng hữu ích và quan trọng. Do đó mục đích của chúng tôi là phát triển mở rộng thêm tính năng tạo báo cáo về kết quả của các phiên kiểm thử an ninh theo định dạng PDF và HTML cho phiên bản mã nguồn mở miễn phí của Metasploit , vốn là một tính năng chỉ có trong phiên bản thƣơng mại đắt tiền nhất của Metasploit Pro
NỘI DUNG:
CHƢƠNG 1: TỔNG QUAN VỀ KIỂM THỬ AN NINH ............................................... 11
1.1. Khái niệm cơ bản .................................................................................................. 11
1.2. Phân loại kiểm thử an ninh ................................................................................... 11
1.2.1. Kiểm thử hộp trắng ......................................................................................... 11
1.2.2. Kiểm thử hộp đen ........................................................................................... 11
1.2.3. Kiểm thử hộp xám .......................................................................................... 11
1.3. Quy trình kiểm thử an ninh ................................................................................... 12
1.3.1. Giai đoạn khởi tạo .......................................................................................... 13
1.3.2. Đặt phạm vi .................................................................................................... 13
1.3.3. Thu thập thông tin trƣớc khi kiểm thử ............................................................ 14
1.3.4. Tuyên bố công việc ........................................................................................ 15
1.3.5. Quyền kiểm thử chuyên sâu ............................................................................ 15
1.3.6. Thực thi kiểm thử ........................................................................................... 15
1.3.7. Báo cáo kiểm thử an ninh ............................................................................... 15
CHƢƠNG 2: TỔNG QUAN VỀ METASPLOIT............................................................ 17
2.1. Khái niệm cơ bản .................................................................................................. 17
2.2. Lịch sử Metasploit ................................................................................................ 17
2.3. Các phiên bản của Metasploit ............................................................................... 18
2.4. Metasploit Framework .......................................................................................... 20
2.4.1. Tổng quan về Metasploit Framework ............................................................. 20
2.4.2. Cấu trúc của Metasploit Framework ............................................................... 23
2.4.3. Quy trình kiểm thử trên Metasploit Framework .............................................. 24
CHƢƠNG 3: MỞ RỘNG TÍNH NĂNG TẠO BÁO CÁO CHO METASPLOIT
FRAMEWORK .............................................................................................................. 25
5
3.1. Xác định chuẩn báo cáo trong Metasploit Pro ....................................................... 26
3.1.1. Chuẩn PCI ...................................................................................................... 27
3.1.2. Chuẩn FISMA ................................................................................................ 27
3.2. Xác định các loại báo trên Metasploit Pro ............................................................. 28
3.3. Chuẩn bị dữ liệu để kết xuất ................................................................................. 29
3.3.1. Chuẩn bị dữ liệu tấn công kiểm thử ................................................................ 29
3.3.2. Tấn công kiểm thử .......................................................................................... 29
3.4. Thiết kế công cụ tạo báo cáo ................................................................................. 35
3.4.1. Phân tích......................................................................................................... 35
3.4.2. Đƣa ra giải pháp ............................................................................................. 38
3.4.3. Thiết kế Logic ................................................................................................ 39
3.5. Viết chƣơng trình và chạy thử nghiệm công cụ ..................................................... 45
3.5.1. Viết chƣơng trình ........................................................................................... 45
3.5.2. Chạy thử nghiệm công cụ ............................................................................... 49
3.5.3. Kết quả đạt đƣợc ............................................................................................ 54
CHƢƠNG 4: KÊT LUẬN .............................................................................................. 60
TÀI LIỆU THAM KHẢO.
Không có nhận xét nào: