Penetration Testing mit Metasploit
Praxiswissen für mehr IT-Sicherheit
Sebastian Brabetz
Diese Publikation zitieren
Sebastian Brabetz, Penetration Testing mit Metasploit (2018), mitp-Verlag, Frechen, ISBN: 9783958455962
2751
Accesses
Accesses
27
Quotes
Quotes
Beschreibung / Abstract
Das eigene Unternehmen effizient gegen moderne IT-Bedrohungen absichern Penetrationtests mit Metasploit als Teil der IT-Sicherheitsstrategie Verständnis für die Techniken der Angreifer und das Wissen um geeignete Gegenmaßnahmen Metasploit ist sehr mächtig - und sehr komplex. Dieses Buch erklärt das Framework nicht in seiner Gesamtheit, sondern greift alle Themengebiete heraus, die relevant für Verteidiger (sogenannte Blue Teams) sind. Diese erläutert der Autor Sebastian Brabetz ausführlich und zeigt, wie sie im Alltag in der Verteidigung eingesetzt werden. Es werden die Grundlagen von Exploits und Penetration Testing vermittelt und der Leser wird durch seine ersten Schritte im Metasploit-Framework geführt. Wie Metasploit konkret in der Verteidigung genutzt werden und wie ein typischer Hack mit Metasploit aussehen kann, erklärt der Autor anhand konkreter Beispiele.
Beschreibung
Sebastian Brabetz ist Teamleiter Professional Security Solutions bei einem IT-Services-Dienstleister und zertifiziert als Offensive Security Certified Professional. Er gibt u.a. Workshops zu den Themen "Metasploit" und "Pentesting Basics für Verteidiger".
Inhaltsverzeichnis
- Cover
- Titel
- Impressum
- Inhaltsverzeichnis
- Kapitel 1: Einleitung
- 1.1 Ziel und Inhalt des Buches
- 1.2 Rechtliches
- 1.3 Die Einverständniserklärung
- 1.4 Begrifflichkeiten und Glossar
- Kapitel 2: Metasploit-Framework: Hintergrund, Historie
- 2.1 Die Geschichte des Metasploit-Frameworks
- 2.2 Die Editionen von Metasploit
- 2.3 Die Wahl der Open-Source-Framework-Edition
- Kapitel 3: Kali-Linux-Umgebung aufsetzen
- 3.1 Die richtige Plattform
- 3.2 Hintergründe zu Kali Linux
- 3.3 Muss es unbedingt Kali Linux sein?
- 3.4 Fluch und Segen zugleich
- 3.5 Nativ oder als VM?
- 3.6 Erste Schritte nach der Installation
- 3.7 Ein erstes Zielsystem: Metasploitable2
- Kapitel 4: Pentesting-Grundlagen
- 4.1 Begriffsdefinition
- 4.2 Der Scope
- 4.3 Schwarz, Weiß, Grau
- 4.4 Häufigkeit und Zeitpunkt
- 4.5 Verschiedene Arten von Pentests
- 4.6 Pentesting-Phasen
- 4.7 Unterschied zwischen Schwachstellenscans, Pentests und Schwachstellenmanagement
- Kapitel 5: Schwachstellen und Exploits
- 5.1 Softwareschwachstellen/Schwachstellen im Quelltext
- 5.2 Konfigurationsschwachstellen
- 5.3 Standard-, keine und unsichere Passwörter
- 5.4 Exploits
- Kapitel 6: Nmap-Exkurs
- 6.1 Wie funktionieren Portscanner?
- 6.2 Keine Angst vor der Nmap-Hilfe
- 6.3 Erste Gehversuche mit Nmap
- 6.4 Intensität und Datenmengen von Portscans verstehen
- 6.5 Die wichtigsten Nmap-Parameter
- Kapitel 7: Metasploit-Basics
- 7.1 Der erste Start
- 7.2 Erste Gehversuche im Framework
- 7.3 Metasploit-Module
- 7.4 Eine Ablaufkette am Beispiel von Metasploitable2
- Kapitel 8: Metasploit in der Verteidigung
- 8.1 Von der Heise-Meldung über das Patchen bis zur Validierung
- 8.2 Andere Einsatzmöglichkeiten in der Verteidigung
- Kapitel 9: Praxisbeispiele
- 9.1 Vom Word-Dokument zum Domänen-Administrator
- 9.2 Initialvektor: Word-Makro
- 9.3 Eskalation in der Windows-Domäne
- 9.4 Erkenntnisse für die Verteidigung
- 9.5 Das IT-Security-Wettrüsten
- Kapitel 10: Anti-Virus-Evasion
- 10.1 Grundlagen der Anti-Virus-Evasion
- 10.2 Generierung von Stand-alone-Payloads mit Metasploit
- 10.3 AV-Evasion mit PowerShell
- 10.4 Katz-und-Maus-Spiel – Neue Techniken und Tricks nutzen
- Kapitel 11: Nessus-Schwachstellenscanner
- 11.1 Schwachstellen scannen
- 11.2 Vergleich Schwachstellenscanner
- 11.3 Nessus-Versionen
- 11.4 Nessus-Anwendung in der Praxis
- 11.5 Schwachstellenmanagement
- Kapitel 12: Schlusswort
- Anhang A: Glossar
- Stichwortverzeichnis