Metasploit与渗透测试简介

1.1 Metasploit与渗透测试

         渗透测试是通过识别安全计划中的系统弱点与不足之处的一种最为有效的技术方式。通过尝试挫败安全控制措施并绕开防御机制，渗透测试师能够找出攻击者可能攻陷企业安全计划、并对企业带来严重破坏后果的方法。

         渗透测试(PenetrationTesting)是一种通过模拟攻击者的技术与方法，挫败目标系统的安全控制措施并取得访问控制权的安全测试方式。渗透测试的过程并非简单地运行一些扫描器和自动化工具，然后根据结果写一份安全报告。

         Metasploit并不仅仅是一个工具软件，它是为自动化地实施经典的、常规的、复杂新颖的攻击，提供基础设施支持的一个完整框架平台。它可以使使用人员将精力集中在渗透测试过程中那些独特的方面上，以及如何识别信息安全计划的弱点上。Metasploit能够让用户通过选择它的渗透攻击模块、攻击载荷和编码器来轻易实施一次渗透攻击，也可以更进一步编写并执行更为复杂的攻击技术。

         Rapid7公司在Metasploit框架的基础上也发布了两款商业版本：Metasploit Express和Metasploit Pro。Metasploit Express是一个带有GUI界面的轻量级Metasploit框架软件，并增加了一些额外的功能，包括报告生成和其他一些很有用的特性。Metasploit Pro则是Metasploit Express的扩展版本，能够支持以团队协作方式实施的渗透测试过程，并拥有如一键创建VPN通道等很多有用的特性。

         当进行渗透攻击时，请记住如下忠告：

Ø  不要进行恶意的攻击

Ø  不要做傻事

Ø  在没有获得书面授权时，不要攻击任何目标；

Ø  考虑你的行为将带来的后果；

Ø  如果干了些非法的事情，总会被抓到牢里的。