安全测试工具--NESSUS的安装和操作

很多维保期或上线的项目客户会反馈一些安全漏洞层面的问题，质控部通过一些安全测试手段来不断补足安全测试层面的薄弱，nessus是后期会经常用的安全性工具。本期给大家介绍一下nessus的安装、使用等

一、什么是NESSUS？

这个介绍就引用百度的吧，“Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。”

二、安装

1、 nessus官网下载安装包https://www.tenable.com/downloads/nessus，大家可以根据所需下载对应的安装包，目前nessus支持的安装包还是很全的，我这里下载的是nessus-10.4.1 win 64位

2、下载好后，用管理员权限运行安全，下一步、下一步这里就不多说了

3、安装好之后，Nessus 会自动打开浏览器，进入到初始化选择安装界面，这里我们要选择Managed Scanner。

4、点击继续，然后这里一定要选择Tenable.sc。

5、点击继续，进入到设置用户名和密码界面，设置自己的用户名和密码。

6、等待初始化完成，然后退出登录，等待接下来的设置。

7、等加载好，进入操作页面，注意这里还不能操作，距离应用还早。

8、以管理员权限运行CMD，切换到 Nessus 安装目录，执行命令：nessuscli.exe fetch --challenge 得到 Challenge Code。（这里的Challenge Code 接下来会用到）

9、注册一个免费的激活码Activation Code，一会儿会用到。https://zh-cn.tenable.com/products/nessus/nessus-essentials（这里面就根据自己信息填，邮箱一定要填对，要收到一个Activation Code）

10、访问 https://plugins.nessus.org/v2/offline.php 填写 Challenge Code 和 Activation Code 获取 all-2.0.tar.gz 和 Nessus-license 文件。

11、下载这两个文件。可以选择挂代{过}{滤}理下载，或者离线到百度云网盘上下载，正常下载的话会有点慢。

12、把下载好的Nessus-license和all-2.0.tar.gz放到安装的目录下

13、进入到 Nessus 安装目录下，更新插件，运行命令：nessuscli.exe update all-2.0.tar.gz

14、在操作也把Activation Code输入好，一般未破解版只支持16个IP扫描

15、覆盖替换 plugin_feed_info.inc 文件。由于我安装的是windows版本，没有找到 plugin_feed_info.inc 文件，所以自己创建了个 plugin_feed_info.inc 文件，放到以下两个目录。创建 plugin_feed_info.inc 时，里面的 PLUGIN_SET 是第10步里的 version 2*****3

C:\ProgramData\Tenable\Nessus\nessus\plugin_feed_info.inc
C:\ProgramData\Tenable\Nessus\nessus\plugins\plugin_feed_info.inc

16、在服务里重启 Tenable Nessus 服务