Suchen

Security-Tools – Das Metasploit-Framework (Teil 1)

Hacker-Angriffe mit Exploit-Framework Metasploit simulieren

Seite: 3/3

Firmen zum Thema

Mehr Funktionalität durch Drittprogramme gewinnen

Größter Erfolgsfaktor für Metasploit ist wohl der Open-Source-Gedanke, also dass Qualität nur durch einen für alle verfügbaren Quellcode erreicht werden kann. So verwundert es kaum, dass sich im Laufe des Entwicklungszyklus immer mehr Personen direkt am Metasploit-Projekt beteiligt haben.

Einige Entwickler haben auch Programme geschrieben, die sich der Funktionen der Plattform bedienen. Ein gutes Beispiel ist das in Python programmierte Fast-Track von David Kennedy, das selbst eher wenige Funktionen besitzt.

Fast-Track macht sich neben Metasploit auch andere Programme wie SQLMap, w3af oder Nikto zunutze. Zusätzlich lassen sich alle Programme und genutzten Ressourcen durch Fast-Track auf dem neuesten Stand halten; zum Beispiel das Exploit-Archiv Milw0rm, welches jedoch seit einiger Zeit nicht mehr aktualisiert wird.

Alle bisher beschriebenen Möglichkeiten des Metasploit Frameworks, mit Ausnahme der Autopwn-Module und Fast-Track, sind eher passiver Natur und dienen nur dem Auffinden potentieller Schwachstellen. Im kommenden Teil dieser Reihe zeigt Security-Insider.de, wie sich diese Informationen mit Hilfe von Client- und Server-Side-Exploits gezielt zur Beweisführung bei einem Penetrationstest verwenden lassen.

Wichtiger Hinweis: Das Penetration-Testing-Framework Metasploit fällt unter den sogenannten Hackerparagraphen 202c des Strafgesetzbuchs. Dieser stellt das unberechtigte Beschaffen oder Manipulieren von Daten Dritter sowie die Vorbereitungshandlung zu solchen Taten unter Strafe. Die Tool-Sammlung sollte somit in Unternehmen nur im Rahmen einer betrieblichen Vereinbarung zum Einsatz kommen.

(ID:2042685)