OpenVAS 安裝

 ## 安裝OpenVAS

apt-get install openvas  #安裝OpenVAS

openvas-setup #自動設定環境、下載憑證及定義檔

openvas-check-setup  #檢查安裝

openvasmd --create-user admin1  #建立帳號

openvasmd --user=admin1 --new-password=openvas #更改密碼

openvas-feed-update　#升级

openvas-stop

openvasmd --rebuild

openvas-start

netstat -tlnp  #確認9390跟9392兩個port已在LISTEN狀態

https://127.0.0.1:9392 (在Kali開啟瀏覽器，輸入IP打開操作介面)

change Timezone

sudo dpkg-reconfigure tzdata

PS.每次重開機需要執行底下指令(OpenVAS的bug)

openvas-stop

openvasmd --rebuild

openvas-start

Kali Linux Installation 2021/09/11

1. 安裝 Kali Linux on Mac VMWARE Workstation

 https://www.kali.org/get-kali/#kali-virtual-machines

解壓縮後 : Kali-Linux-2021.2-vmware-amd64.vmwarevm

OWASP 2021 Quick View

OWASP 2021 引入了 3 個新類別 :  

A08:2021 - 不安全設計 (No.4 )

A08:2021 - 軟件和數據完整性失敗 ( No.8 )

A10:2021 - 服務器端請求偽造 (No.10)

A01:2021 - 損壞的訪問控制 (Broken Access Control)

OWASP 團隊將一個 Broken Access Control漏洞列為第 1 位，從 2017 年 OWASP TOP 10 榜單的第 5 位移至第 1 位。為了分配這個位置，OWASP 團隊已經測試了 94% 的應用程序，並使用了一些軟身份驗證，並在其中映射了 34 個 CWE。

A02:2021-加密失敗 (Cryptographic Failures)

Cryptographic Failures 已被分配到第 2 位，它已從 2017 年列表中的第 3 位移至 “敏感數據暴露” Sensitive Data Exposure，並已根據攻擊的樣貌進行分配。由於當前更新的列表側重於根因，因此密碼學加密失敗是洩露敏感數據的主要問題。

A03:2021 - 注入攻擊 (Injection)

注入攻擊從 2017 年列表中的第 1 位下降到 OWASP TOP 10 2021 中的第 3 位。在此註入攻擊類別下，映射了 33 個 CWE，包括在上一個列表中排名第 7 的跨站點腳本 (XSS) 漏洞。

A04:2021 - 不安全的設計 (Insecure Design)

不安全設計是 OWASP TOP 10 2021 列表中添加的一個新類別，並列在第 4 位。不安全的設計漏洞側重於與設計缺陷相關的風險。

A05:2021 - 安全配置錯誤 (Security Misconfiguration)

安全配置從第 6 位移至第 5 位，該漏洞已在 90% 的應用程序上進行了測試。OWASP 團隊從 2017 年列表中分隔了 XML 外部實體，並將它們與此安全配置錯誤合併。

A06:2021 - 易受攻擊和過時的組件 (Vulnerable and Outdated Components)

這是“使用具有已知漏洞的組件” 的替代標題，已在 2017 年列表中排名第 9 位。現在它向上移動到 第6 位。這是唯一沒有將任何 CVE 映射到包含的 CWE 的類別，而是考慮了 5.0 的預設漏洞利用和影響權重來反映此位置。

A07:2021 - 識別和認證失敗 (Identification and Authentication Failures)

它以前被稱為“損壞的身份驗證” Broken Authentication，它列在第2位並移到第7位。這個類別仍然是前 10 名的一個組成部分，但標準化框架的可用性增加似乎有所幫助。

A08:2021 - 軟體和數據完整性故障 (Software and Data Integrity Failures)

軟體和數據完整性故障是 OWASP Top 10 2021 列表中的一個新列表，該漏洞主要針對軟件更新、關鍵數據和 CI/CD 管道，而無需驗證完整性。合併自2017 年不安全的反序列化( Insecure Deserialization)。

A09:2021 -安全日誌記錄和監控失敗 (Security Logging and Monitoring Failures)

它以前被稱為監控和監控不足，它被列在第 10 位並上升到第 9 位。未能修復此漏洞將影響可見性、事件警報和取證。

A10:2021 - 服務器端請求偽造 (Server-Side Request Forgery)

業界調查顯示SSRF 名列第 10 位。數據顯示發生率相對較低，測試覆蓋率高於平均水平，並且利用和影響潛力的評級高於平均水平。

Cheers !