Makkelijk hacken en penetratie testen met Metasploit 2.6
Met 143 exploits, 75 payloads en 3 user interfaces is de nieuwste versie van het Metasploit Framework rijkelijk gevuld. Metasploit is een open-source penetratie-testing / vulnerability assessment tool, die met commerciele oplossingen zoals CANVAS en CORE IMPACT vergeleken kan worden. Een compleet overzicht van alle aanpassingen en toevoegingen is in de release notes te vinden. Metasploit Framework 2.6 is via deze link te downloaden.
Reacties (11)
Fijne tool om je netwerk/systemen te testen op (eventuele)
zwakheden, die je over het hoofd hebt gezien. Voor goede
systeembeheerders, die hun netwerk regelmatig op de proef
stellen, zijn dergelijke tools een welkome aanvulling.
Echter is een groot nadeel, dat scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties.
Een soortgelijke tool die beschikbaar is, is AccessDiver.
Het gecombineerd gebruik van Metasploit, AccessDiver en
soortgelijke applicaties geeft je een voorsprong op de
eerdergenoemde en welbekende scriptkiddies. Zorg daarom dat
systemen/applicaties tijdig gepatcht worden tot de nieuwste
versie en laat de exploits los voor een grondige analyse.
Scriptkiddies hebben niet de kennis om nieuwe exploits te
schrijven. Door een mooie honeypot op te zetten, kun je
scriptkiddies in de val lokken (met oude exploits) zonder
dat ze ook maar iets in de gaten hebben. Een echte hacker
houd je overigens nooit volledig tegen. Zij worden slechts
vertraagd in hun handelingen. Een lichtpuntje aan de horizon
is dat echte hackers er haast niet rondlopen op deze aardbodem.
zwakheden, die je over het hoofd hebt gezien. Voor goede
systeembeheerders, die hun netwerk regelmatig op de proef
stellen, zijn dergelijke tools een welkome aanvulling.
Echter is een groot nadeel, dat scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties.
Een soortgelijke tool die beschikbaar is, is AccessDiver.
Het gecombineerd gebruik van Metasploit, AccessDiver en
soortgelijke applicaties geeft je een voorsprong op de
eerdergenoemde en welbekende scriptkiddies. Zorg daarom dat
systemen/applicaties tijdig gepatcht worden tot de nieuwste
versie en laat de exploits los voor een grondige analyse.
Scriptkiddies hebben niet de kennis om nieuwe exploits te
schrijven. Door een mooie honeypot op te zetten, kun je
scriptkiddies in de val lokken (met oude exploits) zonder
dat ze ook maar iets in de gaten hebben. Een echte hacker
houd je overigens nooit volledig tegen. Zij worden slechts
vertraagd in hun handelingen. Een lichtpuntje aan de horizon
is dat echte hackers er haast niet rondlopen op deze aardbodem.
En wie zegt dat dit dan veilig is?
Ik zou nooit vreemde software gebruiken zeker niet als het gratis is.
Dit soort software moet je naar mening altijd draaien in een
representatieve testomgeving (in een poging de produktieomgeving te
benaderen en de produktieomgeving niet te belasten)
Ik zou nooit vreemde software gebruiken zeker niet als het gratis is.
Dit soort software moet je naar mening altijd draaien in een
representatieve testomgeving (in een poging de produktieomgeving te
benaderen en de produktieomgeving niet te belasten)
Een lichtpuntje aan de horizon
is dat echte hackers er haast niet rondlopen op deze
aardbodem.
is dat echte hackers er haast niet rondlopen op deze
aardbodem.
En wat is dan precies een echte hacker?
Door Anoniem
En wie zegt dat dit dan veilig is?
Ik zou nooit vreemde software gebruiken zeker niet als het
gratis is.
Dit soort software moet je naar mening altijd draaien in een
representatieve testomgeving (in een poging de
produktieomgeving te
benaderen en de produktieomgeving niet te belasten)
En wie zegt dat dit dan veilig is?
Ik zou nooit vreemde software gebruiken zeker niet als het
gratis is.
Dit soort software moet je naar mening altijd draaien in een
representatieve testomgeving (in een poging de
produktieomgeving te
benaderen en de produktieomgeving niet te belasten)
Nogal een open deur reactie. Testen doe je altijd in een
testomgeving en nooit in een productieomgeving. Bovendien is
Metasploit open-source, zoals in het artikel is vermeld. Dus
waarom zou je het niet gebruiken? Denk je dat betaalde
software niet of nooit "vreemd" is? Beetje naief naar mijn
bescheiden mening.
Door Anoniem
En wie zegt dat dit dan veilig is?
Ik zou nooit vreemde software gebruiken zeker niet als het
gratis is.
En wie zegt dat dit dan veilig is?
Ik zou nooit vreemde software gebruiken zeker niet als het
gratis is.
Tja, wie zegt dat die 22000 programeurs van Microsoft (of
welke andere softwareleverancier dan ook) wel te vertrouwen
zijn? Van deze software kun je tenminste nog de source
bekijken.
Citaat "Denk je dat betaalde software niet of nooit "vreemd" is? Beetje naief
naar mijn bescheiden mening."
Hmm, tuurlijk heb je gelijk maar ik had het enkel niet vermeld. Maar bij
software van een bedrijf is eventuele schade nog te achterhalen.
En zo kunnen we nog wel ff doorgaan. Wist je nog die ms office cd met een
virus?
Sluit die deur dan ;)
MrHawkeye
naar mijn bescheiden mening."
Hmm, tuurlijk heb je gelijk maar ik had het enkel niet vermeld. Maar bij
software van een bedrijf is eventuele schade nog te achterhalen.
En zo kunnen we nog wel ff doorgaan. Wist je nog die ms office cd met een
virus?
Sluit die deur dan ;)
MrHawkeye
Door Anoniem
Fijne tool om je netwerk/systemen te testen op (eventuele)
zwakheden, die je over het hoofd hebt gezien. Voor goede
systeembeheerders, die hun netwerk regelmatig op de proef
stellen, zijn dergelijke tools een welkome aanvulling.
Echter is een groot nadeel, dat scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties.
Een soortgelijke tool die beschikbaar is, is AccessDiver.
Het gecombineerd gebruik van Metasploit, AccessDiver en
soortgelijke applicaties geeft je een voorsprong op de
eerdergenoemde en welbekende scriptkiddies. Zorg daarom dat
systemen/applicaties tijdig gepatcht worden tot de nieuwste
versie en laat de exploits los voor een grondige
analyse.
Fijne tool om je netwerk/systemen te testen op (eventuele)
zwakheden, die je over het hoofd hebt gezien. Voor goede
systeembeheerders, die hun netwerk regelmatig op de proef
stellen, zijn dergelijke tools een welkome aanvulling.
Echter is een groot nadeel, dat scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties.
Een soortgelijke tool die beschikbaar is, is AccessDiver.
Het gecombineerd gebruik van Metasploit, AccessDiver en
soortgelijke applicaties geeft je een voorsprong op de
eerdergenoemde en welbekende scriptkiddies. Zorg daarom dat
systemen/applicaties tijdig gepatcht worden tot de nieuwste
versie en laat de exploits los voor een grondige
analyse.
En wie zegt dat scriptkiddies hier niet van op de hoogte
zijn? Ik denk dat scriptkiddies wel degelijk een combinatie
van dit soort tools gebruiken. Daarnaast zullen ze iedere
exploit gebruiken die ze maar kunnen vinden.
Scriptkiddies hebben niet de kennis om nieuwe exploits te
schrijven. Door een mooie honeypot op te zetten, kun je
scriptkiddies in de val lokken (met oude exploits) zonder
dat ze ook maar iets in de gaten hebben. Een echte hacker
houd je overigens nooit volledig tegen. Zij worden slechts
vertraagd in hun handelingen. Een lichtpuntje aan de horizon
is dat echte hackers er haast niet rondlopen op deze
aardbodem.
schrijven. Door een mooie honeypot op te zetten, kun je
scriptkiddies in de val lokken (met oude exploits) zonder
dat ze ook maar iets in de gaten hebben. Een echte hacker
houd je overigens nooit volledig tegen. Zij worden slechts
vertraagd in hun handelingen. Een lichtpuntje aan de horizon
is dat echte hackers er haast niet rondlopen op deze
aardbodem.
Ook dit vind ik weer een vreemde aanname. Hoe kom je erbij
dat er maar weinig 'echte hackers' bestaan? En wat is dan de
definitie van een 'echte hacker'? Iemand die goed code kan
lezen/programmeren, in staat is om eigen lekken te vinden in
software (zowel door code analyse/whitebox testing als door
blackbox testing), is in mijn ogen ook in staat om exploits
te schrijven. Voeg er de nodige creativiteit aan toe en je
hebt een potentiele hacker volgens mij. En oefening baart
kunst dus met de nodige ervaring kan zo iemand uitgroeien
tot een 'echte hacker'. Volgens mij zijn het er meer dan je
denkt!
En wie zegt dat scriptkiddies hier niet van op de hoogte
zijn? Ik denk dat scriptkiddies wel degelijk een combinatie
van dit soort tools gebruiken. Daarnaast zullen ze iedere
exploit gebruiken die ze maar kunnen vinden.
Je leest niet: "Echter is een groot nadeel, dat
scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties."
Combinatie of niet!
Ook dit vind ik weer een vreemde aanname. Hoe kom je erbij
dat er maar weinig 'echte hackers' bestaan? En wat is dan de
definitie van een 'echte hacker'? Iemand die goed code kan
lezen/programmeren, in staat is om eigen lekken te vinden in
software (zowel door code analyse/whitebox testing als door
blackbox testing), is in mijn ogen ook in staat om exploits
te schrijven. Voeg er de nodige creativiteit aan toe en je
hebt een potentiele hacker volgens mij. En oefening baart
kunst dus met de nodige ervaring kan zo iemand uitgroeien
tot een 'echte hacker'. Volgens mij zijn het er meer dan je
denkt!
Dat is dus jouw mening. De mijne was (indirect) reeds
verkondigd. Jouw definitie is voor mij het schoolvoorbeeld
van scriptkiddies. En inderdaad een 'echte hacker' kan code
zowel begrijpend lezen als schrijven. Scriptkiddies kunnen
code lezen, 'analyseren' en ze na trial-en-error bewerken.
Daarentegen kunnen ze geen unieke code schrijven. In mijn
ogen een kritieke factor in de definitie "hacker". Hacken is
niet creatief knutselen, maar elke stap weten waar je mee
bezig bent.
Hackers kunnen applicaties/systemen vanaf scratch opbouwen
(immers zij kennen de architecturen van zowel hard- als
software) en ze daarna op elke mogelijke wijze vernielen.
Scriptkiddies kunnen enkel (delen) vernielen. Daarom is het
voor jou waarschijnlijk ook een vreemde aanname dat er maar
weinig 'echte hackers' zijn. 10 rijpe appels en een
1.000.000 rotte appels zijn samen veel appels, maar ik eet
toch liever een rijpe appel.
Nogmaals mijn mening, die dus sterk afwijkt van de jouwe!
Je leest niet: "Echter is een groot nadeel, dat
scriptkiddies ook gebruik
(lees: misbruik) maken van dit soort applicaties."
Combinatie of niet!
Bovenstaande zin heb ik wel degelijk gelezen, maar verklaar
dan de volgende zin: "Het gecombineerd gebruik van
Metasploit, AccessDiver en soortgelijke applicaties geeft je
een voorsprong op de eerdergenoemde en welbekende
scriptkiddies." Hoezo heb je een voorsprong door het
gecombineerde gebruik van deze tools als de kiddies deze
tools ook gebruiken?
Dat is dus jouw mening. De mijne was (indirect) reeds
verkondigd. Jouw definitie is voor mij het schoolvoorbeeld
van scriptkiddies. En inderdaad een 'echte hacker' kan code
zowel begrijpend lezen als schrijven. Scriptkiddies kunnen
code lezen, 'analyseren' en ze na trial-en-error bewerken.
Daarentegen kunnen ze geen unieke code schrijven. In mijn
ogen een kritieke factor in de definitie "hacker". Hacken is
niet creatief knutselen, maar elke stap weten waar je mee
bezig bent.
Hackers kunnen applicaties/systemen vanaf scratch opbouwen
(immers zij kennen de architecturen van zowel hard- als
software) en ze daarna op elke mogelijke wijze vernielen.
Scriptkiddies kunnen enkel (delen) vernielen. Daarom is het
voor jou waarschijnlijk ook een vreemde aanname dat er maar
weinig 'echte hackers' zijn. 10 rijpe appels en een
1.000.000 rotte appels zijn samen veel appels, maar ik eet
toch liever een rijpe appel.
Nogmaals mijn mening, die dus sterk afwijkt van de
jouwe!
Zo sterk wijkt je mening anders niet af van de mijne. Als je
goed had gelezen zeg ik dat een hacker in ieder geval in
staat moet zijn om zijn eigen kwetsbaarheden te ontdekken.
Als ie goed kan programmeren is ie tevens in staat om eigen
exploits te schrijven en daarmee z'n eigen ontdekte
kwetsbaarheden uit te buiten. Als ie dat combineert met
creativiteit waarin ie meerdere kwetsbaarheden kan
combineren om tot een goed uitgedachte aanval te komen, dan
is het een hacker. Hiervoor moet je dus wel degelijk precies
weten waar je mee bezig bent. In mijn ogen is het goed
kunnen programmeren (in ieder geval in assembly en C) DE
basis-skill voor een hacker. Als ie dat kan, dan kan ie dus
ook applicaties/systemen vanaf scratch opbouwen en de
werking van reeds bestaande systemen begrijpen. Onze mening
verschilt dus eigenlijk alleen maar op het punt van de
hoeveelheid 'echte hackers'. Ik ben het met je eens dat er
ontzettend veel meer scriptkiddies rondlopen op deze
aardkloot, maar dat betekent niet dat het aantal 'echte
hackers' klein is. Overigens betekent hacken voor een heel
groot deel wel 'creatief knutselen', maar dan op niveau.
Hoezo heb je een voorsprong door het gecombineerde
gebruik van deze tools als de kiddies deze tools ook
gebruiken?
gebruik van deze tools als de kiddies deze tools ook
gebruiken?
Juist door dezelfde tools als de scriptkiddies te gebruiken,
weet je welke kwetsbaarheden zij op het scherm gepresenteerd
krijgen. Dus je hebt voorsprong in de zin dat je weet welke
kwetsbaarheden de tools herkennen. Als je systeem eenmaal
gepatcht is, zal een nieuwe scan van (jezelf of )
scriptkiddies geen effect meer hebben. Scriptkiddies staan
dan machteloos totdat er weer nieuwe versies van de tools
verschijnen. Sorry, jip-en-janneke-taler kan ik het niet
uitleggen (sorry ben niet zo snugger).
Onze mening verschilt dus eigenlijk alleen maar op
het punt van de
hoeveelheid 'echte hackers'. Ik ben het met je eens dat er
ontzettend veel meer scriptkiddies rondlopen op deze
aardkloot, maar dat betekent niet dat het aantal 'echte
hackers' klein is.
het punt van de
hoeveelheid 'echte hackers'. Ik ben het met je eens dat er
ontzettend veel meer scriptkiddies rondlopen op deze
aardkloot, maar dat betekent niet dat het aantal 'echte
hackers' klein is.
Welk absoluut aantal 'echte hackers' heb ik genoemd dan? Hoe
verhoudt zich dat absolute aantal tot jouw absolute aantal?
We zullen het er mee eens zijn dat het er relatief
gezien veel minder zijn dan scriptkiddies, nietwaar?
Een 'Echte Hacker' weet computersystemen veilig te configureren
(Bullshit-Proof) en hiervoor audit scripts kan schrijven, de resultaten
juist weet te interpreteren en meer.
De titel 'Echte Hacker' word door de hacker gemeenschap
toegekend en niet door je kennissen, buren of vrienden die onder
de indruk zijn omdat je met Linux 'werkt' en redelijke kennis heb van
computers en aanverwante zaken.
Het kan integere mensen (digitale hobbyisten) ernstig beschadigen
en problemen geven indien deze onterecht door zijn omgeving,
instantie etc. word aangezien voor 'hacker'. (spreek over mijzelf!)
Met een beetje 'kennis' van HTML, PHP, JAVA en Linux word men al
snel aangezien voor 'hacker'.
(Bullshit-Proof) en hiervoor audit scripts kan schrijven, de resultaten
juist weet te interpreteren en meer.
De titel 'Echte Hacker' word door de hacker gemeenschap
toegekend en niet door je kennissen, buren of vrienden die onder
de indruk zijn omdat je met Linux 'werkt' en redelijke kennis heb van
computers en aanverwante zaken.
Het kan integere mensen (digitale hobbyisten) ernstig beschadigen
en problemen geven indien deze onterecht door zijn omgeving,
instantie etc. word aangezien voor 'hacker'. (spreek over mijzelf!)
Met een beetje 'kennis' van HTML, PHP, JAVA en Linux word men al
snel aangezien voor 'hacker'.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.