近期出現了可綜合利用Shodan設備搜索引擎和Metasploit滲透測試工具的Python代碼。該代碼會用Shodan.io自動搜索有漏洞的在線設備,隨後使用Metasploit的漏洞利用數據庫劫持計算機和其他在線設備。
只需點擊運行,該腳本就會爬取互聯網,尋找可以攻擊的脆弱主機(通常是因為沒打補丁),並自動取得對這些主機的控制權。完全無需什麼高端的黑客技術。
這段 Python 2.7 腳本名為AutoSploit,是昵稱為"Vector"的用戶於本周上傳到GitHub上的,會在通過Shodan搜索引擎收集到目標後(需 API 密鑰)嘗試調用Metasploit模塊攻擊目標。
Metasploit是模塊化開源滲透測試工具,內含軟件和其他產品的安全漏洞利用代碼塊,可以抽取各類系統的信息,或者在設備上開啟遠程控制。Shodan可以搜索面向公網的計算機、服務器、工業設備、網絡攝像頭和其他設備,搜出這些設備的開放端口和可利用的服務。
GitHub代碼庫上寫道:“精選了Metasploit模塊輔助遠程代碼執行,嘗試建立反向 TCP Shell 和Meterpreter會話。”
因為此類自動化攻擊可能帶來法律問題,該代碼庫還附了一份警告,稱在易被追蹤溯源的機器上執行該代碼不是明智的做法。
一些安全同行認為將此自動化攻擊代碼公布本身就不是什麼好主意,與Shodan的聯系就已經在法律的邊緣試探了。將可大規模漏洞利用公共系統的代碼放到腳本小子觸手可及的范圍是不合理的。"可以做"和"該不該做"是兩碼事。這事兒有可能得悲劇收場。
但同時,將漏洞掃描和漏洞利用明確聯系起來的做法可能蘊含有一定價值。該操作昭示出自動化可以擊敗安全防御。
該工具的作者Vector稱該代碼被安全社區廣為接受。
當然,批評是少不了的,但任何工具只要實現了某種程度的攻擊自動化,都會遭到批判。
任何事物都有正反兩面,全看你怎麼用。我可不是信息看門人,信息應該是共享的,我不過是開源擁護者而已。
學好 Python 不論是就業還是做副業賺錢都不錯,但要學會 Python 還是要有一個學習規劃。最後大家分享一份全套的 Python 學習資料,給那些想學習 Python 的小伙伴們一點幫助!
Python所有方向的技術點做的整理,形成各個領域的知識點匯總,它的用處就在於,你可以按照上面的知識點去找對應的學習資源,保證自己學得較為全面。
當我學到一定基礎,有自己的理解能力的時候,會去閱讀一些前輩整理的書籍或者手寫的筆記資料,這些筆記詳細記載了他們對一些技術點的理解,這些理解是比較獨到,可以學到不一樣的思路。
觀看零基礎學習視頻,看視頻學習是最快捷也是最有效果的方式,跟著視頻中老師的思路,從基礎到深入,還是很容易入門的。
光學理論是沒用的,要學會跟著一起敲,要動手實操,才能將自己的所學運用到實際當中去,這時候可以搞點實戰案例來學習。
檢查學習結果。
我們學習Python必然是為了找到高薪的工作,下面這些面試題是來自阿裡、騰訊、字節等一線互聯網大廠最新的面試資料,並且有阿裡大佬給出了權威的解答,刷完這一套面試資料相信大家都能找到滿意的工作。
保證100%免費】
Python資料、技術、課程、解答、咨詢也可以直接點擊下面名片,
添加官方客服斯琪↓
