功能特性
描述 | Metasploit Framework | Metasploit Community | Metasploit Express | Metasploit Pro | |
| Pricing | |||||
| License | 無IP限制 | Free | Free | 收費 | |
| 用戶界面 | |||||
| Web界面 | 提供友好的web界面,大大提高效率,減少對技術培訓的依賴 | N | Y | Y | Y |
| 命令行界面 | .命令行界面 | Y | N | N | Y |
| 專業控制檯 | 高級命令行功能,通過專業控制檯可以使用新的更高一級的命令,更好的管理數據,整體提高效率。 | N | N | N | Y |
| ***測試 | |||||
| 全面的exp覆蓋 | Metasploit擁有世界上最大的高質量公開***庫 | Y | Y | Y | Y |
| 手工*** | 針對一臺主機發動一個單一*** | Y | Y | Y | Y |
| 基本*** | 針對任意數量的主機發動一個單一*** | N | Y | Y | Y |
| 智能*** | 自動選擇所有匹配的exp,進行最安全可靠的***測試。支持dry-run模式在發動***前可以清楚哪些exp會運行。 | N | N | Y | Y |
| ***鏈 | 自動組織***和輔助模塊,例如針對思科路由器 | N | N | N | Y |
| 證據收集 | 一鍵收集攻陷主機的證據,包括截屏、密碼、哈希值、系統信息等等 | N | N | Y | Y |
| 後*** | .成功攻陷一臺主機後自動發動定製的後***模塊 | N | N | N | Y |
| 會話保持 | 連接斷開後可以自動生重新連接,例如一個被釣魚的用戶關閉了自己的筆記本電腦,重新開機後會自動建立連接 | N | N | N | Y |
| 密碼暴力猜測 | 快捷試驗最常用的或之前捕獲到的密碼。如果是弱密碼或pass-the-hash***方式,哈希值可以被自動破解。 | N | N | Y | Y |
| 社會工程學 | 模擬釣魚***。創建帶有惡意文件的U盤來***一臺機器。 | N | N | N | Y |
| Web應用測試 | 掃描、審計和***Web應用的漏洞,如OWASP Top10。 | N | N | N | Y |
| IDS/IPS 繞過 | 繞過IDS/IPS的檢測 | N | N | N | Y |
| 免殺 | 使用動態載荷繞過反病毒系統,不需要浪費時間自己編寫動態載荷 | N | N | N | Y |
| 載荷生成器 | 通過快捷界面生成獨立的優秀載荷 | N | N | N | Y |
| 代理跳板 | 通過一個攻陷的主機針對另一外目標發動一個*** | Y | Y | Y | Y |
| ***跳板 | 通過一臺被攻陷的主機建立一個2層的網絡連接通道,使您可以使用基於網絡的工具,例如漏洞掃描器來得到更多的信息,以供進一步再使用更高級的技術 | N | N | N | Y |
| 報表 | |||||
| 基本報表 | 生成基本的***測試報表,包括審計報告和被攻陷主機報告 | N | N | Y | Y |
| 高級報表 | 生成各種報表包括Web應用測試報表、社會工程學模擬報表以及種種合規報表如PCI | N | N | N | Y |
| 效率增強 | |||||
| 快速開始嚮導 | 執行基線***測試找到容易的目標、Web應用測試或模擬釣魚***。通過嚮導可以快速入門並在嚮導完成後有更入的瞭解 | N | N | N | Y |
| MetaModules | MetaModules 可 以爲IT安全專家簡化實施安全測試。許多安全測試技術要麼基於繁瑣的工具要麼需要定製開發,需要花費大量的時間。爲了加快這樣的測 試,MetaModules 把常見但複雜的安全測試自動化,從而給人力不足的安全部門提供一個更有效的辦法來完成工作。 MetaModules 包括網絡分段操作和防火牆測試、被動網絡發現、憑證測試和***等。 | N | N | N | Y |
| 發現式掃描 | 利用集成的NMAP掃描器配合高級指紋技術描繪出整個網絡,並識別網絡中的設備 | N | Y | Y | Y |
| 腳本重放 | 生成腳本再現***,從而可以測試補救工作是否有效 | N | N | Y | Y |
| 數據管理 | 在可檢索的數據庫中跟蹤所有被發現的數據。在分組視圖中找出異常值。 | N | Y | Y | Y |
| 標記 | 通過標記主機可以把主機分配給某人、標記爲一個導入源、標記項目範圍、或標記高價值目標。今後可以通過標記找到對應的主機。 | N | N | N | Y |
| 任務鏈 | 創建定製的工作流 | N | N | N | Y |
| 專業API | 使用高級的完全文件化的API可以把Metasploit Pro集成到SIEM和GRC系統中或實現定製自動化和集成 | N | N | N | Y |
| 集成 | 開箱即用的SIEM和GRC集成 | N | N | N | Y |
| 團隊協作 | 和多個隊員共同協作同一個項目,分割工作量,利用不同層次的專家經驗。共享所有信息燕生成一個統一報告 。 | N | N | N | Y |
| Security Programs | |||||
| 閉環風險驗證 | 驗證漏洞和錯誤配置,從而可以對風險進行等級劃分,並且可以把結果推回到Nexpose | N | N | N | Y |
| 模擬釣魚*** | 發送模擬釣魚郵件來衡量用戶的安全意識,包括多少人點擊了郵件中的鏈接或在一個僞造的登錄頁面輸入了登錄憑證,並可以對具有危險行爲的用戶進行培訓 | N | N | N | Y |
| 漏洞驗證 | |||||
| 漏洞導入 | 從Nexpose和第三方漏洞掃描系統中導入輸出文件 | Y | Y | Y | Y |
| Web漏洞導入 | 從各種第三方Web應用掃描器中改入輸出文件 | N | N | Y | Y |
| Nexpose掃描 | 在界面上直接啓動一個Nexpose掃描。結果自動導入到Metasploit | N | Y | Y | Y |
| 直接導入 | 把現有的nexpose掃描結果直接導入 | N | N | N | Y |
| 漏洞例外 | 驗證後把漏洞例外推回到Nexpose,包括評論和例外時限。 | N | N | Y | Y |
| 閉環集成 | 標記並推送可以***的漏洞到Nexpose | N | N | N | Y |
| re-run Session | 重新運行一次***來驗證一項補救措施的效果,例如補丁是否起作用 | N | N | Y | Y |
| 支持 | |||||
| 社區支持 | 在Rapid7社區中得到支持 | Y | Y | Y | Y |
| Rapid7 支持 | 7X24小時電子郵件和電話支持 | N | N | Y | Y |