购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

推荐序

华峰老师邀我为《Metasploit Web渗透测试实战》一书作序,但这已经超出我的能力范畴,因此不敢为“序”,仅以此小文作为推荐。

我个人习惯把Metasploit Framework称为一个渗透测试的框架。在安全领域里面经常会提到两个词:一个是框架,另一个是标准。在安全管理层面,大量的标准要求你合规,符合标准,虽会规定你做什么,但不会告诉你具体如何做才能实现目标;而在技术具体实现的操作层面,我们往往要使用一个个具体的框架——框架主要针对具体技术的实现。我个人非常看重框架性的内容,有了框架你就可以做成一件事情。

比如渗透测试是一件非常烦琐的事情,它涉及的领域、需要思考的问题非常多,要求我们掌握大量的工具及技术。若有一个框架,在这个框架的规范下从事渗透测试这项工作,利用这个框架下模块的功能,按步骤操作就可以顺利地完成整个工作流程。

我们在这个框架下进行渗透测试,通常首先收集信息,框架下的模块可以帮助我们完成信息收集的工作。其次利用收集的信息发现目标设备中的漏洞。一旦发现存在漏洞,我们就可以通过框架下的模块利用这个漏洞。如果成功利用,就可能控制目标设备,在此基础上进入后渗透测试阶段,逐步扩大战果,设置后门,维持连接,然后对内网进一步扩展渗透。最后把所有的工作成果形成一份渗透测试报告。

我们经常说安全是一个发展非常迅速的行业,同时新的安全漏洞也在不断出现。一方面,一个好的框架可以吸收新的漏洞代码片段,使得自身变得更充实;另一方面,当框架的现有功能不能满足需求时,我们可以在这个框架下丰富它的功能。

Metasploit是目前非常流行、功能强大、极具扩展性、开发活跃的渗透测试平台软件之一,在安全行业里无人不知无人不晓。在这个框架下,我们可以把渗透测试的工作方法,也就是PTES(Penetration Testing Execution Standard,渗透测试执行标准)完美地按流程实现。

人们提到渗透测试的时候,经常把关注点聚焦在攻击而忽略了防守。渗透测试的目标并不是去破坏别人、攻击别人,最终的目标是通过黑客的思路和方法发现、修复漏洞,保障系统的安全性。

Metasploit框架在设计的时候就集成了PTES的思想。一定程度上,它统一了渗透测试和漏洞研究的工作环境。Metasploit到现在依然处于非常活跃的状态,本书中的案例将采用新版Metasploit 6实现。

推荐华峰老师的书我很有底气,与华峰老师结识多年,也合作多年。一个人的风格特点通过他做事的态度就能知道。华峰老师勤于笔耕,已出版多本书籍,如《Wireshark网络分析从入门到实践》《Kali Linux 2网络渗透测试实践指南》《墨守之道:Web服务安全架构与实践》等。华峰老师对于技术的热情、痴迷和探索精神由此可见一斑。

2020年年末华峰老师在安全牛课堂开设了“深入研究Metasploit渗透测试技术”课程。很显然,仅凭一门视频课程不足以体现华峰老师在Metasploit方面的深入探索和实践。当我有幸看到本书时,才理解了一名典型的技术人对技术的痴迷程度。我仔细阅读本书后,看到华峰老师不变的特点— __ 一如既往地保持他结合热点、贴近实战的风格。本书除了介绍攻防两端不同视角下产生的攻击行为,还提供了大量实例。干货满满才是本书的特色,也是本书出版的初衷,衷心希望读者朋友通过学习本书提升自身技能。

安全牛课堂负责人 倪传杰
2021年12月 JXFMyfPJadJTHBXXqvzw7yStIN/Yj3zXDn2NUbJ97VqxPSoTNSR6Y63LFbz81LV6

点击中间区域
呼出菜单
上一章
目录
下一章
×