购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.12 使用Faraday管理协同的渗透测试

渗透测试最困难的挑战之一是,记住测试网络或系统目标的所有相关信息,或者试图记住目标是否在测试过程中真实地测试过。在某些情况下,一个客户可能有多个渗透测试人员,从多个位置执行扫描活动,管理层希望有一个视图。Faraday可以提供这一点,假设所有的渗透测试人员都能够在同一内部网络或外部评估的互联网上相互发送回显信息。

Faraday是一个多用户渗透测试集成开发环境(IDE)。它旨在让测试人员分发、索引和分析在渗透测试或技术安全审核过程中生成的所有数据,以提供不同的视图,例如管理、操作摘要和总体问题列表。

这个IDE平台是由InfoByte用Python开发的,最新版本的Kali Linux中会默认安装该软件的3.14.3版本。你可以从菜单中导航到Applications,单击12-Reporting tools,然后单击Faraday start,软件会打开一个新的界面,供你输入密码以执行服务更改,为Faraday的Web网站设置用户名和密码。

设置用户名和密码后,应用程序会打开Web浏览器,指向http://localhost:5985/。

现在,你可以为每个项目创建工作区。下一步是确保所有使用Faraday客户端的测试人员通过在终端中运行faraday-client来执行所有任务。它会提示你输入应用程序的凭据,使用你刚刚创建的用户名和密码,就能够看到如图1.47所示的界面。

图1.47 通过Faraday客户端运行Nmap扫描

在此之后,你或团队中的任何其他渗透测试人员执行的任何扫描命令行活动,都可以通过单击Faraday web应用程序来可视化,如图1.48所示。

图1.48 Faraday的实时可视化界面

Faraday 3.15.0的免费版本存在局限性,测试人员无法利用实时操作、洞察和数据分析的结果将整个问题列表在一个地方实现可视化。 qxvSx3gHCZuAknHHLYMCgY1Rifhni1LHyo2l9eexTfTiOMViZ9C2EOhqBIYbqYTL

点击中间区域
呼出菜单
上一章
目录
下一章
×