Security-Tools – Das Metasploit-Framework (Teil 1)
Hacker-Angriffe mit Exploit-Framework Metasploit simulieren
23.12.2009 | Autor / Redakteur: Marcell Dietl / Stephan Augsten
Mehr Funktionalität durch Drittprogramme gewinnen
Größter Erfolgsfaktor für Metasploit ist wohl der Open-Source-Gedanke, also dass Qualität nur durch einen für alle verfügbaren Quellcode erreicht werden kann. So verwundert es kaum, dass sich im Laufe des Entwicklungszyklus immer mehr Personen direkt am Metasploit-Projekt beteiligt haben.
Einige Entwickler haben auch Programme geschrieben, die sich der Funktionen der Plattform bedienen. Ein gutes Beispiel ist das in Python programmierte Fast-Track von David Kennedy, das selbst eher wenige Funktionen besitzt.
Fast-Track macht sich neben Metasploit auch andere Programme wie SQLMap, w3af oder Nikto zunutze. Zusätzlich lassen sich alle Programme und genutzten Ressourcen durch Fast-Track auf dem neuesten Stand halten; zum Beispiel das Exploit-Archiv Milw0rm, welches jedoch seit einiger Zeit nicht mehr aktualisiert wird.
Alle bisher beschriebenen Möglichkeiten des Metasploit Frameworks, mit Ausnahme der Autopwn-Module und Fast-Track, sind eher passiver Natur und dienen nur dem Auffinden potentieller Schwachstellen. Im kommenden Teil dieser Reihe zeigt SearchSecurity.de, wie sich diese Informationen mit Hilfe von Client- und Server-Side-Exploits gezielt zur Beweisführung bei einem Penetrationstest verwenden lassen.
Wichtiger Hinweis: Das Penetration-Testing-Framework Metasploit fällt unter den sogenannten Hackerparagraphen 202c des Strafgesetzbuchs. Dieser stellt das unberechtigte Beschaffen oder Manipulieren von Daten Dritter sowie die Vorbereitungshandlung zu solchen Taten unter Strafe. Die Tool-Sammlung sollte somit in Unternehmen nur im Rahmen einer betrieblichen Vereinbarung zum Einsatz kommen.
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042685)
Sehr geehrte Leserinnen und Leser,