Python和Go成為2019年最受歡迎的黑客工具(推薦)_其它綜合

來源:腳本之家  責任編輯:小易  

就目前的互聯網格局來說,Java和Python都是熱門的言語,根據相關統計,它們兩個位居前三名:所以基本上沒有好壞之分;ヂ摼W缺少的永遠是中高級人員。這兩門語言選擇任何一門,只要學好了,前景都是不錯的,它們的應用領域都非常廣闊www.anxorj.tw防采集請勿采集本網。

安全公司 Imperva Cloud WAF 保護了全球超過10萬個網站,并且每天觀察到大約10億次攻擊。他們每天都會檢測到成千上萬種黑客工具,并采取各種措施來阻止惡意請求。在本文中,研究人員將分享有關研究人員在2019年觀察到的最危險工具和攻擊的信息。

不是 python仍然會是主流的編程語言之一,而go是否能成為主流編程語言,還需要時間考驗。不過 go 的作者都是牛人,又有google在后面推,可能性很大。但即便go成為主流之一,也不代表大家都會從 python 轉

研究人員使用先進的智能客戶端分類機制對各種Web客戶端進行分類,為了確定黑客最常用的工具,研究人員查看了2019年期間發現的所有攻擊,并將它們歸類為安全事件。通過對數據進行聚類,研究人員能夠減少大型攻擊造成的偏差,而不是專注于對多個站點的不同攻擊。

不是 python仍然會是主流的編程語言之一,而go是否能成為主流編程語言,還需要時間考驗。不過 go 的作者都是牛人,又有google在后面推,可能性很大。但即便go成為主流之一,也不代表大家都會從

值得注意的是,隨著Google Go語言的興起,流行的編碼語言Python仍然是大多數黑客的首選武器。

go:一直有人強調go對多線程多cpu執行時的效率有多塊多好,那是因為他和python比,python根本不支持多線程(因為GIL的存在),go各方面都很平庸(比效率比不過c,比庫的支持比不過python(python也可以用c

接下來研究人員可以看到WinHttp庫,主要由運行在Windows上的.net和CPP使用,然后是Shell工具,如cURL、wget等,其余的頂級工具更多。

錯!大錯特錯!GO、PHP、Ruby、Python 這些都是用于數據處理的編程語言(簡稱:后端) 只有 HTML、HTML5 才能做用戶界面(簡稱:前端)

編程語言和瀏覽器,研究人員將提供更多關于頂級工具的有趣統計數據,如攻擊類型和來源國家分布。研究人員還將介紹了一些頂級工具,最后給出一些建議,告訴你如何保護你的網站不受這些工具的影響。

由于python軟件新興持續火熱,人才需求量大,薪資待遇高,越來越多的人選擇參Python培訓,然而選擇學校卻成了很多家長和學生苦惱的問題,這么多python培訓機構,怎么選擇?每個學校的宣傳也好像

統計數據分析

研究人員決定查看一些GitHub的統計數據,以了解哪些語言使用得最多。根據GitHut 2.0, Python和Go位列2019年五大語言之列。

為此,研究人員決定重點關注GitHub中的網絡安全項目,假設大多數攻擊工具都標有此類標簽。 GitHub并未對每個存儲庫進行分類,但是GitHub中的安全主題包含超過8500個與安全相關的存儲庫,這是一個相當大的示例。

看看這些庫中使用的前五種語言,研究人員可以看到Python排在第一位,遙遙領先,然后是Java、JavaScrIPt、PHP,最后是Go?吹街饕膚eb語言(如PHP和JavaScrIPt)或使用廣泛的語言(如Python和Java)在列表中名列前茅,這并不奇怪。但是Go在2019年成為了榜首,更有趣的是,它取代了基于shell的代碼。

將GitHub的統計數據與Stack Overflow趨勢進行比較時,研究人員得到了類似的情況。很難解釋為什么關于Go的漏洞沒有來自Go存儲庫的拉取請求那么多。一個令人驚訝的統計數據是Python的使用量迅速而急劇的上升,平均每年增長13%,在十年內幾乎翻了兩番。

Cloud WAF統計信息

為了了解這些工具在研究人員保護的網站上攻擊的傳播情況,研究人員創建了一個圖表,顯示2019年每種工具攻擊的網站百分比。研究人員觀察到的工具在事件數量和被攻擊站點的百分比方面都處于領先地位。大多數站點每個月都會受到Python的攻擊,而30%-50%的站點會受到其他工具的攻擊。

為此,研究人員決定觀察兩種最流行、變種最多的攻擊——XSS和SQLi,以及通過Go和Python使用這些攻擊的嘗試。

值得注意的是,到2019年底,Go在兩種攻擊中都趕上了Python。雖然現在判斷這一趨勢是否會持續還為時過早,但很容易看出,到2019年底Go已經變得更加流行。

研究人員想檢查一下觀察到的每種主要攻擊類型的工具分布情況:

如你所見,Python在RCE/RFI、文件上傳和數據泄漏方面是最強的工具,而Go在常規自動攻擊中更強大。

讓我們根據來源IP查看工具使用情況的國家/地區分布圖:

中國使用Python的方式比其他任何國家都多,而印度選擇Go作為其首選工具。很難說為什么,但是鑒于這些國家/地區的網絡活動知名度很高,因此新加入這個市場的黑客可能選擇了現代工具進行他們的邪惡活動。

根據IP來判斷攻擊數量

令人驚訝的是,使用該工具進行攻擊的IP數量與該工具引發的安全事件數量之間并沒有很強的相關性。這可以部分地由這些工具所涉及的攻擊類型來解釋。復雜的,自動的攻擊往往可以協調進行,即大規模大規模攻擊。

通過觀察事件與IP之間的比率,可以進一步驗證該假設。請求率低的工具(可以很容易地用于瀏覽器模擬)具有非常低的事件IP比率。相比之下,能夠輕易生成大規模攻擊的工具(如Go和Python)的IP發生率要高得多。

讓我們來看看位和字節:

最受歡迎的Python庫是請求,Urllib和異步IO

異步IO庫的使用自去年以來已經增長,但它仍然排在最后。然而,由于它在用Python編寫異步程序時所具有的強大功能,研究人員希望在將來看到更多的增長。

研究人員決定檢查一些通常被黑客工具利用的CVE:

首先,大約有700萬個HTTP請求是(CVE-2017-9841),這是PHPUnit中的一個遠程命令執行漏洞,PHPUnit是一個廣泛使用的PHP測試框架。深入了解其歷史時,似乎CVE已于2017年6月發布,而修復程序已于2016年11月11日提交。

在2019年9月4日,Drupal發布了關于Mailchimp中一個漏洞的公共服務公告(PSA-2019-09-04),該漏洞使用PHPUnit作為第三方庫。此外,2020年1月7日,PrestaShop(用PHP編寫的電子商務解決方案)發布了一個安全公告,內容涉及名為XsamXadoo Bot的惡意軟件正在利用的PHPUnit漏洞。這些公告使CVE復活,在Twitter上引發了炒作,在該處發布了許多與該漏洞有關的帖子。此外,漏洞數據庫(如VulnDB)也更新了與此CVE相關的記錄并添加了新鏈接-例如,2017年在博客中寫回的POC,只能通過回溯設備獲得。當研究人員檢查數據時,嘗試找到Go-lang攻擊工具使用的流行CVE,研究人員發現,最流行的一個CVE實際上是一組CVE(CVE-2016- 5385,CVE-2016-5386,CVE-2016-5387,CVE-2016-5388,CVE-2016-1000109和CVE-2016-1000110)。所有這些CVE與HTTP_PROXY環境變量中的漏洞(稱為“ httpoxy”)有關。

在CGI或類似CGI的上下文中運行的Web服務器可以將客戶端請求代理標頭值分配給內部HTTP_PROXY環境變量,可以利用此漏洞對內部子請求進行中間人(MITM)攻擊或指導服務器啟動與任意主機的連接。

讓研究人員轉到cURL,這是最常見的攻擊shell工具。有一個有趣的CVE,在Apache Struts (CVE-2016-3087)中執行遠程代碼,大約有100K個HTTP請求。Apache Struts是一個免費的、開放源碼的模型-視圖-控制器(MVC)框架,用于創建優雅的、現代的Java web應用程序。當使用REST插件時,可以執行遠程代碼!操作符在啟用動態方法調用時使用。

緩解措施

如果你有一個客戶機分類機制,它可以像查看用戶代理那樣簡單,那么這些見解將允許你輕松地抵御許多常見的攻擊。要理性對待這些工具,如果你不期望你的應用程序或部分應用程序被這些工具訪問,那么就阻止來自它們的請求。在其他情況下,你可能知道只有特定的IP應該使用這些工具,例如執行運行狀況監視的IP,你可能希望單獨限制對這些IP的訪問。

好了,就給大家介紹到這里吧,希望大家喜歡小編的分享。

別問全不全,用python很多時候都要用自己用pip下載包,肯定是能運行python,適合初學者這個見仁見智,有人喜歡用vs有人喜歡用命令行,沒什么好說的內容來自www.anxorj.tw請勿采集。


  • 本文相關:
  • 幾款黑客工具的使用方法
  • xxencode 編碼,xx編碼介紹、xxencode編碼轉換原理與算法
  • delphi - indy idmessage和idsmtp實現郵件的發送
  • 詳解inet_pton()和inet_ntop()函數
  • 趣談unicode、ascii、utf-8、gb2312、gbk等編碼知識
  • 微信 小程序前端源碼詳解及實例分析
  • webpack基礎教程之名詞解釋
  • ie條件語句 ie hack大全
  • hadoop框架起步之圖解ssh、免密登錄原理和實現方法
  • 關于程序員生活的一份調查,看看你屬于哪一個群體吧
  • thymeleaf實現th:each雙重多重嵌套功能
  • VS2019可以寫python嗎
  • 2019學Java好,還是學python好?
  • PyCharm 和vs2019 開發python 哪個好?
  • 用Python,從鍵盤任意輸入一個年,計算這個年是多少天。比如:輸入2019年,要首先判斷是否閏年
  • 像Dropbox 這樣從 Python 轉到 Go 語言是不是新的趨勢
  • 像Dropbox 這樣從 Python 轉到 Go 語言是不是新的趨勢
  • 2017年學go好還是python好
  • 開發一個網站!后端用go語言,前端用PHP,Ruby還是python呢?
  • 2019年如何選擇專業的python培訓機構?
  • 五年后哪些編程語言會成為主流,swift還是go,或者python
  • 網站首頁網頁制作腳本下載服務器操作系統網站運營平面設計媒體動畫電腦基礎硬件教程網絡安全javascriptasp.netphp編程ajax相關正則表達式asp編程jsp編程編程10000問css/htmlflex腳本加解密web2.0xml/rss網頁編輯器相關技巧安全相關網頁播放器其它綜合dart首頁幾款黑客工具的使用方法xxencode 編碼,xx編碼介紹、xxencode編碼轉換原理與算法delphi - indy idmessage和idsmtp實現郵件的發送詳解inet_pton()和inet_ntop()函數趣談unicode、ascii、utf-8、gb2312、gbk等編碼知識微信 小程序前端源碼詳解及實例分析webpack基礎教程之名詞解釋ie條件語句 ie hack大全hadoop框架起步之圖解ssh、免密登錄原理和實現方法關于程序員生活的一份調查,看看你屬于哪一個群體吧thymeleaf實現th:each雙重多重嵌套功能最新idea2020注冊碼永久激活(激活刪除svn三種方法delsvn(windows+intellij idea激活碼獲取方法(ic/s和b/s兩種架構的概念、區別和intellij idea2020永久破解,親測網址(url)支持的最大長度是多少5個linux平臺程序員最愛的開發工url中斜杠/和反斜杠\的區別小結提示“處理url時服務器出錯”和“thymeleaf實現th:each雙重多重嵌套功能關于數據處理包dplyr的函數用法總結xxencode 編碼,xx編碼介紹、xxencode編碼php、java、.net這三種技術的區別分析ai經典書單 人工智能入門該讀哪些書?delphi 本地路徑的創建、清空本地指定文件詳解inet_pton()和inet_ntop()函數關注程序員健康:程序最需要注意的幾件事解決vim顯示utf-8文件亂碼問題從chrome app看微信小程序的發展前景
    免責聲明 - 關于我們 - 聯系我們 - 廣告聯系 - 友情鏈接 - 幫助中心 - 頻道導航
    Copyright © 2017 www.anxorj.tw All Rights Reserved
    陕西快乐10分下载