澳门新葡亰平台官网黑客将Python作为攻击编码语言的首选

by admin on 2020年3月15日

Python 变得越来越流行,在之前 9 月份的 TIOBE 排行榜中,Python 甚至挤下
C++,拿到第三名。而这有一部分原因应当归于黑客对
Python 的热衷。

最新的调查数据表明,Python已经变成了世界上最热门的编程语言了,而Python的热门风也刮到了信息安全领域中。Python,摇身一变,也变成了黑客开发网络攻击工具时的首选。

GitHub 万星推荐:黑客成长技术清单

 

导语:如果你需要一些安全入门引导,“Awesome Hacking”无疑是最佳选择之一。

 

最近两天,在reddit安全板块和Twitter上有个GitHub项目很火,叫“Awesome
Hacking”。

澳门新葡亰平台官网 1

“Awesome
Hacking”在reddit上有超过四百个赞,但管理员后来认为不适合该板块(Awesome类项目没有新的内容),给了“reject”。

这个项目由Twitter账号@HackwithGithub 维护,混Twitter的安全爱好者应该了解,在@HackwithGithub
上能关注到许多最新安全开源项目、黑客技巧。

“Awesome
Hacking”是一个黑客技术清单项目,里边索引了数十个不同方向的技能图谱。大家都知道,GitHub上这类项目非常容易集星(Star),“Awesome
Hacking”刚刚突破一万星(这一轮推荐里大概涨了两千星),已经进入安全领域最受关注的GitHub项目阵营。

澳门新葡亰平台官网 2

如果你需要一些安全入门引导,“Awesome
Hacking”无疑是最佳选择之一。在这里,你能找到Android、iOS、OS
X等不同平台,IoT、工控、车辆等行业设施设备,模拟攻击环境、蜜罐、Fuzing、Exploit开发等攻击技能…涉及到黑客技能的方方面面。

下边就来看看吧:

Awesome Hacking系列

Android安全:收集了各种Android工具、报告/研究/书籍、漏洞/利用代码等资源

应用安全:了解学习应用程序安全的资源列表

漏洞赏金:漏洞赏金计划集合和著名赏金猎人博客列表

Cheatsheets:常见的渗透测试/安全备忘录

CTF:CTF框架、类库、资源、软件和教程清单

网络攻击环境:可以合法地锻炼培养自己攻击技能的环境集合

安全开发运维:devsecops.org社区贡献的权威devsecops工具列表

Exploit开发:学习exploit开发的资源

Fuzzing:各种fuzzing图书、课程、工具、教程和易受攻击应用集合

Hacking:Awesome
Hacking资源列表

蜜罐:包括不同类型的蜜罐、蜜罐工具、蜜罐分析等

事件响应:旨在帮助安全分析师和数字取证人员

工控安全:包括工具、蜜罐、数据、警报和新闻、会议各种工控安全等

信息安全:有各种信息安全公开课、培训信息

IoT安全:聚合了大量IoT破解案例,如RFID、门铃、中控、可穿戴等

恶意软件分析:包括恶意软件收集、开源威胁情报、检测、沙箱等

开源情报:情报界的各种开源情报来源

OS
X和iOS安全:OS
X和iOS安全工具集合

Pcaptools:流量处理的命令集、捕获工具、分析检查、DNS配置等工具资源

渗透测试:在线渗透测试资源、Shellcode开发、开源情报资源、社会工程资源等

PHP安全:PHP生成安全随机数、加密数据、检查漏洞等类库

逆向:关于逆向的图书、培训、实战、工具等

安全演讲:收集了2013-2017年各类安全大会演讲视频

SecLists:安全测试人员进行评估检查需要用到的技能

Security:Awesome
Security,一个社区驱动的知名安全资源分类集合

社会工程学:仅供网络安全人员、渗透测试人员在受控环境用于教育用途

静态分析:针对各种编程语言的静态分析工具、linters、代码质量检查等

威胁情报:包括常见威胁情报来源、格式、架构、工具、研究标准书籍等

车辆安全:关于车辆安全的学习资源、项目、软硬件、汽车黑客案例、Twitter
follower列表等

漏洞研究:相对偏学术方向,有不少书籍、会议、报告等推荐

Web黑客:Web安全入门各种书籍、文档、工具

Windows漏洞利用:Windows堆栈溢出、内核攻击、内存损坏、内存保护等内容资源

WiFi兵工厂:针对802.11协议攻击的各类工具

可用知识库

API安全检查清单:当你设计、测试、发布API时,需要核对的安全细节清单

APT
Notes:2008年至今的所有APT行动披露报告汇总,中国出现了11次

赏金漏洞披露列表:偏Web向的常见漏洞类型案例披露

密码学:密码学的理论、工具、框架、资源等

CFT工具:CTF从入门到了解各种工具

CVE
PoC库:博主从13年到现在收集的数十个CVE漏洞的PoC

取证:数字取证的常见工具资源

免费编程书:关于系统、数据库、IDE、编程语言等方面的免费书

灰帽黑客资源:CTF、加密学、Linux
Hacking、USB Hacking、漏洞等

信息安全入门:包括信息安全博客、认证、课程、社区、播客、工具等

安全资源:一个类似MITRE
ATT&C的框架

IOC:常见IOC资源、工具

Linux内核利用库:2005年至今的Linux内核利用技术演讲、漏洞、Writeups等

网络安全领域的机器学习:相关研究的数据集、论文、书籍、演讲等

恶意软件脚本:博主收集的二十几个脚本

Payloads:一大波常见Web攻击Payloads

Payloads集合:比上面这个更丰富的常见Web攻击Payloads

五星级Cheatsheets:包括OS
X命令行、PowerShell命令行、Google
Dorks、Shodan、exploit开发、Java反序列化等最全备忘

Pentest
Wiki:博主收集的在线安全知识库,里边涵盖网络分析、Web应用、开源情报、漏洞分析、编程开发等多个领域

字典:作者自称找了超过80GB密码库,从中总结出这个字典项目

Resource
List:零碎的GitHub安全项目汇总,涉及PWND、PowerShell、CTF、恶意软件等

逆向工程:常见软件、类库、书籍、技术分析、开发等

RF安全工具箱:国人@cn0xroot
聚合的各类射频资源集合,包括SDR、GSM、3G、4G LTE、NFC&RFID、ZigBee等

安全备忘录:收集了许多信息安全工具和主题

安全清单:一大波详实的全系列安全资源

Shell:一系列Shell命令行、工具、指南等

威胁猎人攻略:帮助安全分析师利用Sysmon和Windows
Events日志来进行事件分析,涉及Splunk、ELK、Sigma、GrayLog等工具

 

需要提醒,Awesome项目只是引导,关键还需要大家自己有执行力,热爱钻研。红宝书已经给到,后边就看你们了!

澳门新葡亰平台官网 3

调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。


Threatpost 报导,在 Imperva
最近一次调查中发现,目前 GitHub 代码库中,有超过 20% 的网络攻击工具或
PoC(概念验证) 代码都是采用 Python 编写的,这表明 Python
是黑客开发网络攻击工具时的首选。

最新的调查数据表明,Python已经变成了世界上最热门的编程语言了,而Python的热门风也刮到了信息安全领域中。Python,摇身一变,也变成了黑客开发网络攻击工具时的首选。

Imperva 指出:“GitHub 中有大量关于网络安全或信息安全的
topic,而几乎每一个相关 topic 中的主要代码库都是用 Python 编写的,比如
Sqlmap、w3af 与 AutoSploit 等。”

根据Imperva的监控数据显示,在今年6月底至9月中旬的所有针对网站的攻击事件中,有77%的网络攻击活动使用的都是基于Python的攻击工具。除此之外数据还显示,超过1/3的网络攻击事件中负责执行主要攻击任务的都是Python工具。

至于 web 客户端,在不计算漏洞扫描应用的情况下,有超过 25%
的客户端程序是黑客利用的基于 Python 的工具。

Imperva在其发布的报告中写到:数据表明,越来越多的网络攻击者开始使用Python工具来进行深度网络扫描了。

 澳门新葡亰平台官网 4

与此同时,根据Imperva对GitHub代码库的调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。Imperva表示:GitHub中有大量关于网络安全或信息安全的topic,而几乎每一个相关topic中的主要代码库都是用Python写的。比如说Sqlmap和w3af,以及臭名昭著的AutoSploit等等。

而目前用于网络攻击的两个最流行的 Python 模块是 Urllib 和 Python
Requests。此外,Python 还经常被用于攻陷特定的应用程序和框架,如 Struts
和 WordPress。

关于Web客户端,Imperva的研究人员也给出了他们的调查数据。

Imperva 的监控数据还显示,在今年 6 月底至 9
月中旬的所有网站攻击事件中,有 77% 使用的是用 Python
编写的攻击工具。数据还显示超过 1/3
的网络攻击事件中负责执行主要攻击任务的都是 Python 工具。

目前,Web攻击者使用最频繁的两个Python代码库分别是Urllib和Python
Requests。除此之外,社区又出现了一个新的模块-Async
IO,而且使用这个代码库的人也越来越多了。

澳门新葡亰平台官网 5

当然了,如果网络攻击者想要对Struts和WordPress这样的项目进行攻击的话,Python同样是他们的首选。

Imperva 表示:“作为一门编程语言,Python
在信息安全领域拥有极大的优势,其中很重要的一个原因就是很多漏洞利用代码
PoC 都是采用 Python 编写的。”

Imperva表示:作为一款编程语言,Python在信息安全领域有着极大的优势,其中很重要的一点就是很多漏洞利用代码PoC都是采用Python编写的。比如说,之前特别流行的针对漏洞CVE-2017-9841和漏洞CVE-2015-8562的漏洞利用代码。

(文/开源中国)    

实际上,Python的学习难度并不高,它并不要求编码者拥有多么深厚的编码功底,这也使得Python成为了很多新手的最爱。由此可见,在将来我们还会看到越来越多基于Python的攻击工具和漏洞PoC出现。

责任编辑:焦旭

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图