近期出现了可综合利用Shodan设备搜索引擎和Metasploit渗透测试工具的Python代码。该代码会用Shodan.io自动搜索有漏洞的在线设备,随后使用Metasploit的漏洞利用数据库劫持计算机和其他在线设备。
只需点击运行,该脚本就会爬取互联网,寻找可以攻击的脆弱主机(通常是因为没打补丁),并自动取得对这些主机的控制权。完全无需什么高端的黑客技术。
这段 Python 2.7 脚本名为AutoSploit,是昵称为"Vector"的用户于本周上传到GitHub上的,会在通过Shodan搜索引擎收集到目标后(需 API 密钥)尝试调用Metasploit模块攻击目标。
Metasploit是模块化开源渗透测试工具,内含软件和其他产品的安全漏洞利用代码块,可以抽取各类系统的信息,或者在设备上开启远程控制。Shodan可以搜索面向公网的计算机、服务器、工业设备、网络摄像头和其他设备,搜出这些设备的开放端口和可利用的服务。
GitHub代码库上写道:“精选了Metasploit模块辅助远程代码执行,尝试建立反向 TCP Shell 和Meterpreter会话。”
因为此类自动化攻击可能带来法律问题,该代码库还附了一份警告,称在易被追踪溯源的机器上执行该代码不是明智的做法。
一些安全同行认为将此自动化攻击代码公布本身就不是什么好主意,与Shodan的联系就已经在法律的边缘试探了。将可大规模漏洞利用公共系统的代码放到脚本小子触手可及的范围是不合理的。"可以做"和"该不该做"是两码事。这事儿有可能得悲剧收场。
但同时,将漏洞扫描和漏洞利用明确联系起来的做法可能蕴含有一定价值。该操作昭示出自动化可以击败安全防御。
该工具的作者Vector称该代码被安全社区广为接受。
当然,批评是少不了的,但任何工具只要实现了某种程度的攻击自动化,都会遭到批判。
任何事物都有正反两面,全看你怎么用。我可不是信息看门人,信息应该是共享的,我不过是开源拥护者而已。
关于Python技术储备
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
一、Python所有方向的学习路线
Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、Python必备开发工具
三、精品Python学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、Python视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
五、实战案例
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
六、Python练习题
检查学习结果。
七、面试资料
我们学习Python必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有阿里大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。