快7保持开源版本的Metasploit看齐

回来时,Rapid7聘请HD Moore和团队,接手的Metasploit开源渗透测试项目我们许多在安全社区是高兴HD和团队找到了家和企业赞助商来资助他们正在做伟大的工作。当然,任何时候的企业实体进入一个开源项目的控制有自己的商业利益可能来自开源社区的利益分歧的机会。在Rapid7我们有一点未知的,因为他们并没有特别被称为一个大的开源支持者。今天Rapid7公布Metasploit Pro的新版本,这是该软件的商业版本。从新闻稿和注释中可以看出,这些增强大部分(如果不是全部的话)并不适用于开源版本Metasploit框架。这是否意味着我们所担心的利益被转移了呢?时间会告诉我们。

从发行说明Pro版本没有拿起开源框架作为一个选项的命令行界面。所以这是平价。但另外Pro版本现在有:

  • Metasploit的专业控制台 -只有在Metasploit的专业版本,这个控制台是谁已经变得非常习惯于使用Metasploit框架的易于使用的命令行界面,还需要的Metasploit的专业强大的自动化功能,渗透测试人员。由于增加了先进的网络发现,自动化开发,取证,智能暴力破解和报告功能来使用Metasploit控制台的现有功能,结果是通过标准的Web界面立刻显示,使用混合允许团队成员之间的协作GUI和控制台界面。
  • PCI报告 -只有在Metasploit的专业中的一个功能,它产生PCI DSS合规性与合格报告/失败适用PCI DSS要求的信息。PCI标准既需要漏洞管理(11.2)和渗透测试(11.3);因此,为方便符合要求的11.3,Metasploit的专业现在包括有关要求二,六,八,其中包括口令和安全系统的维护企业的安全状况详细的,可操作的报告。此外,组织可以利用Rapid7的漏洞管理解决方案NeXpose®符合要求的11.2。
  • 项目活动报告 -Metasploit Pro和Metasploit Express中的一个特性是,组织现在可以创建一个PDF报告,描述它们在技术层面上运行的确切测试。这使得渗透测试公司的客户可以追溯导致成功任务的步骤。
  • 资产标签 -Metasploit的专业的高级功能,可以让用户自由分配标签,基于多种标准,如合规,操作流程和团队协作在不同的业务单位的资产。标签可用于分类的资产和文件的安全性研究结果,可以直接集成到报表引擎。这有利于提高项目管理和报告,特别是对于大型渗透测试约会。
  • 全球搜索 -可以在Metasploit Pro和Metasploit Express中找到,全局搜索使跨不同项目的团队工作的用户受益,现在可以跨项目和团队成员搜索标签、主机名、IP地址和注释。这种高级搜索使得从以前的项目或其他团队成员中查找信息变得更加容易。
  • Post-Exploitation模块- - - - - -这个特性在所有Metasploit版本中都有,包括十多个模块,可以在被利用的系统上运行,以执行诸如收集额外信息、转向其他网络和提高系统特权等操作。作为每周产品更新的一部分,Rapid7可以快速添加新的开发后模块。此外,Metasploit Pro和Metasploit Express提供了在多个系统上同时运行开发后模块的能力。

所有这些,唯一的一个开源框架版本是后开发的模块。虽然我承认,Rapid7必须保持一个功能集,使得它值得付出Pro版本,我当然想一些这方面可用的开源版本,以及。

有不同的模式,当他们有一个开源和产品的商业版本的公司使用。有时新功能是在商业版本,然后最终得出的开源版本。其他时候,新功能的开源版本设法进入商用版本之前测试。有时,功能集永远保持分开。我不知道什么Rapid7的这里视力。

另一件事是,从HD Moore的博客文章在新的框架功能它似乎克里斯·约翰·赖利,一名安全研究人员已经做自耕农的发展一些伟大的模块工作。克里斯是很好的安全性世界中是已知的,最近参与了呼叫Liggat安全和格雷格·埃文斯(这是一个非常有趣的完全不同的故事)。所以,虽然克里斯做了这项伟大的工作,但Rapid7的承诺在哪里呢?

如果是除HD Moore之外的其他人,我可能会对Rapid7的这个版本更加怀疑和批评。相反,我会先给他们“无罪推定”,然后采取观望的方法。但我确实希望在未来的几周或几个月内,pro版本中的一些伟大的新特性能够融入到开源框架的发行版中。

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对最重要的话题发表评论。

©2011Raybet2

IT薪资调查:结果是