ARRAY(0xa1c19924)
 
Kundenrezension

5 von 5 Kunden fanden die folgende Rezension hilfreich
5.0 von 5 Sternen Eine sehr gute Einführung in das Metasploit Framework, 17. Mai 2012
Von Amazon bestätigter Kauf(Was ist das?)
Rezension bezieht sich auf: Metasploit: Das Handbuch zum Penetration-Testing-Framework (Broschiert)
2010 und 2011 habe ich am BackTrack Day in Fulda teilgenommen. Dort hatte ich das Vergnügen Michael Messner kennenzulernen, der dort Workshops zum Metasploit Framework gehalten hat. Michael hat nun die Lücke gefüllt dass es kein deutsches Buch zur Einführung in das Metasploit Framework gibt. Und ich finde, dass ihm das sehr gut gelungen ist.

Metasploit - Das Handbuch zum Penetration-Testing-Framework führt auf ca. 500 Seiten schrittweise in das Metasploit Framework ein. Das erste Kapitel beschreibt grob die Bestandteile eines Penetrationstestes, gibt Tipps für die Dokumentation und macht Vorschläge für die Einrichtung eines Testlabors. Es versteht sich von selbst, dass die Beispiele im Buch nur entweder in einem Testlabor oder mit Genehmigung der Besitzer der getesteten Rechner durchgeführt werden dürfen!

Im zweiten Kapitel geht es um die Entstehungsgeschichte von Metasploit, die Installation unter verschiedenen Betriebssystemen und um eine kurze EInführung in die Benutzerschnittstelle. Danach geht es dann direkt in die Benutzung. Das Buch beschreibt, wie man die anzugreifenden Systeme analysiert und auf Schwachstellen hin überprüft. Schon hier bekommt man einen ersten Eindruck von der Leistungsfähigkeit des Frameworks. Danach geht es darum, wie man Schwachstellen auf den entdeckten Systemen ausnutzt und sich Zugriff verschafft. Auf den ersten Blick sieht es so aus, als ob mit vielen Konsolenausgaben Seiten gefüllt werden sollen. Aber dieser Eindruck täuscht. Sieht man sich die Beispiele genauer an, erkennt man wie ein Baustein auf dem anderen aufbaut. Die Konsolenausgaben sind für das Verständnis des Buches (und des Frameworks) sehr wichtig.

Wenn man nun Zugriff erhalten hat, möchte man ja seine Rechte auf dem System erweitern sowie weitere Systeme von dort aus angreifen. Ein ganzes Kapitel widmet sich deshalb der Post-Exploitation-Phase; hierbei liegt der Schwerpunkt auf Meterpreter, einem enorm mächtigen Payload. Allein hier gab es für mich viele neue Dinge zu entdecken.

Greift man nun viele Systeme an, stellt sich zwangsläufig die Frage nach Automatisierungsmöglichkeiten. Das nächste Kapitel widmet sich den Automatisierungsmöglichkeiten innerhalb von Metasploit; z.B. beim Thema des Passwortknackens. Zu diesem Thema ist anzumerken, dass nach dem Erscheinen des Buches db_autopwn (das automatisierte Ausnutzen von Schwachstellen) aus Metasploit entfernt wurde. In der nächsten Auflage des Buches wird das berücksichtigt werden, wie der Autor es auf seiner Webseite angekündigt hat. Da aber db_autopwn wohl weiterhin eingebunden werden kann, ist das Kapitel weiterhin sehr nützlich.

Nun gibt es aber nicht nur Betriebssysteme, sondern auch andere mögliche Ziele. Als Nächstes folgt im Buch ein Kapitel über Webapplikationen, Datenbanken und (sehr kurz) Angriffe auf virtualisierte Umgebungen. Metasploit bietet zwar nicht so viele Möglichkeiten wie ein dedizierter Webscanner, aber dieses Kapitel zeigt sehr schön, wie man die Ergebnisse aus anderen Tools in Metasploit einbinden kann.

Falls man keine Angriffsmöglichkeit auf Server hat, kann man den Einstieg ja auch über den Client versuchen. Folgerichtig widmet sich das nächste Kapitel den Attacken auf Clients (z.B. XSS-Angriffe). Passend dazu widmet sich das neunte Kapitel u.a. der Einbindung des Social Engineering Toolkits sowie von BeEf, dem Browser Exploitation Frameworks.

Wem jetzt noch nicht der Kopf raucht: im nächsten Kapitel geht es um die Entwicklung eines eigenen Exploits. Mit ein wenig Verständnis für Programmierung kann man dem Kapitel sehr gut folgen. Hierzu isr den Workshop vom BackTrack Day 2010 eine gute Ergänzung.

Das letzte Kapitel widmet sich den kommerziellen Versionen Metasploit Express und Metasploit Pro. Dieses Kapitel richtet sich mehr an den professionellen Pentester. Abgerundet wird das Buch mit einem Literatur- bzw. Linkverzeichnis mit fast 290 Einträgen.

Fazit: das Buch bietet eine sehr gute Einführung in das Metasploit Framework. Die Kapitel bauen logisch aufeinander auf und die Beispiele helfen beim Verständnis sehr. Das Buch lässt sich sehr gut lesen; ich habe es auf zwei langen Bahnfahrten komplett gelesen (ohne Rechnerzugriff). Der Autor ist offen gegenüber Kritik, Anregungen und Hinweisen auf Fehler. Wenn man dem Buch etwas vorwerfen kann: es ist (trotz 500 Seiten) zu kurz. Ich hätte vom Autor gerne zu verschiedenen Theme noch mehr gelsen; aber irgendwo muss man Abstriche machen. Das trübt aber den sehr guten Eindrcuk nicht. deshalb formuliere ich es mal als Wunsch und nicht als Kritik: gerne würde ich ein zweites Buch zu dem Thema lesen. Wie wäre es: Advanced Metasploiting?
Helfen Sie anderen Kunden bei der Suche nach den hilfreichsten Rezensionen 
War diese Rezension für Sie hilfreich? Ja Nein

Schreiben Sie als erste Person zu dieser Rezension einen Kommentar.

[Kommentar hinzufügen]
Kommentar posten
Verwenden Sie zum Einfügen eines Produktlinks dieses Format: [[ASIN:ASIN Produkt-Name]] (Was ist das?)
Amazon wird diesen Namen mit allen Ihren Beiträgen, einschließlich Rezensionen und Diskussion-Postings, anzeigen. (Weitere Informationen)
Name:
Badge:
Dieses Abzeichen wird Ihnen zugeordnet und erscheint zusammen mit Ihrem Namen.
There was an error. Please try again.
">Hier finden Sie die kompletten Richtlinien.

Offizieller Kommentar

Als Vertreter dieses Produkt können Sie einen offiziellen Kommentar zu dieser Rezension veröffentlichen. Er wird unmittelbar unterhalb der Rezension angezeigt, wo immer diese angezeigt wird.   Weitere Informationen
Der folgende Name und das Abzeichen werden mit diesem Kommentar angezeigt:
Nach dem Anklicken der Schaltfläche "Übermitteln" werden Sie aufgefordert, Ihren öffentlichen Namen zu erstellen, der mit allen Ihren Beiträgen angezeigt wird.

Ist dies Ihr Produkt?

Wenn Sie der Autor, Künstler, Hersteller oder ein offizieller Vertreter dieses Produktes sind, können Sie einen offiziellen Kommentar zu dieser Rezension veröffentlichen. Er wird unmittelbar unterhalb der Rezension angezeigt, wo immer diese angezeigt wird.  Weitere Informationen
Ansonsten können Sie immer noch einen regulären Kommentar zu dieser Rezension veröffentlichen.

Ist dies Ihr Produkt?

Wenn Sie der Autor, Künstler, Hersteller oder ein offizieller Vertreter dieses Produktes sind, können Sie einen offiziellen Kommentar zu dieser Rezension veröffentlichen. Er wird unmittelbar unterhalb der Rezension angezeigt, wo immer diese angezeigt wird.   Weitere Informationen
 
Timeout des Systems

Wir waren konnten nicht überprüfen, ob Sie ein Repräsentant des Produkts sind. Bitte versuchen Sie es später erneut, oder versuchen Sie es jetzt erneut. Ansonsten können Sie einen regulären Kommentar veröffentlichen.

Da Sie zuvor einen offiziellen Kommentar veröffentlicht haben, wird dieser Kommentar im nachstehenden Kommentarbereich angezeigt. Sie haben auch die Möglichkeit, Ihren offiziellen Kommentar zu bearbeiten.   Weitere Informationen
Die maximale Anzahl offizieller Kommentare wurde veröffentlicht. Dieser Kommentar wird im nachstehenden Kommentarbereich angezeigt.   Weitere Informationen
Eingabe des Log-ins
 


Details

Artikel

4.7 von 5 Sternen (12 Kundenrezensionen)
5 Sterne:
 (11)
4 Sterne:    (0)
3 Sterne:    (0)
2 Sterne:    (0)
1 Sterne:
 (1)
 
 
 
EUR 46,90
In den Einkaufswagen Auf meinen Wunschzettel
Rezensentin / Rezensent


Top-Rezensenten Rang: 609.522