Python和Go成为2019年最受欢迎的黑客工具(推荐)_其它综合

来源:脚本之家  责任编辑:小易  

就目前的互联网格局来说,Java和Python都是热门的言语,根据相关统计,它们两个位居前三名:所以基本上没有好坏之分。互联网缺少的永远是中高级人员。这两门语言选择任何一门,只要学好了,前景都是不错的,它们的应用领域都非常广阔www.zgxue.com防采集请勿采集本网。

安全公司 Imperva Cloud WAF 保护了全球超过10万个网站,并且每天观察到大约10亿次攻击。他们每天都会检测到成千上万种黑客工具,并采取各种措施来阻止恶意请求。在本文中,研究人员将分享有关研究人员在2019年观察到的最危险工具和攻击的信息。

不是 python仍然会是主流的编程语言之一,而go是否能成为主流编程语言,还需要时间考验。不过 go 的作者都是牛人,又有google在后面推,可能性很大。但即便go成为主流之一,也不代表大家都会从 python 转

研究人员使用先进的智能客户端分类机制对各种Web客户端进行分类,为了确定黑客最常用的工具,研究人员查看了2019年期间发现的所有攻击,并将它们归类为安全事件。通过对数据进行聚类,研究人员能够减少大型攻击造成的偏差,而不是专注于对多个站点的不同攻击。

不是 python仍然会是主流的编程语言之一,而go是否能成为主流编程语言,还需要时间考验。不过 go 的作者都是牛人,又有google在后面推,可能性很大。但即便go成为主流之一,也不代表大家都会从

值得注意的是,随着Google Go语言的兴起,流行的编码语言Python仍然是大多数黑客的首选武器。

go:一直有人强调go对多线程多cpu执行时的效率有多块多好,那是因为他和python比,python根本不支持多线程(因为GIL的存在),go各方面都很平庸(比效率比不过c,比库的支持比不过python(python也可以用c

接下来研究人员可以看到WinHttp库,主要由运行在Windows上的.net和CPP使用,然后是Shell工具,如cURL、wget等,其余的顶级工具更多。

错!大错特错!GO、PHP、Ruby、Python 这些都是用于数据处理的编程语言(简称:后端) 只有 HTML、HTML5 才能做用户界面(简称:前端)

编程语言和浏览器,研究人员将提供更多关于顶级工具的有趣统计数据,如攻击类型和来源国家分布。研究人员还将介绍了一些顶级工具,最后给出一些建议,告诉你如何保护你的网站不受这些工具的影响。

由于python软件新兴持续火热,人才需求量大,薪资待遇高,越来越多的人选择参Python培训,然而选择学校却成了很多家长和学生苦恼的问题,这么多python培训机构,怎么选择?每个学校的宣传也好像

统计数据分析

研究人员决定查看一些GitHub的统计数据,以了解哪些语言使用得最多。根据GitHut 2.0, Python和Go位列2019年五大语言之列。

为此,研究人员决定重点关注GitHub中的网络安全项目,假设大多数攻击工具都标有此类标签。 GitHub并未对每个存储库进行分类,但是GitHub中的安全主题包含超过8500个与安全相关的存储库,这是一个相当大的示例。

看看这些库中使用的前五种语言,研究人员可以看到Python排在第一位,遥遥领先,然后是Java、JavaScrIPt、PHP,最后是Go。看到主要的web语言(如PHP和JavaScrIPt)或使用广泛的语言(如Python和Java)在列表中名列前茅,这并不奇怪。但是Go在2019年成为了榜首,更有趣的是,它取代了基于shell的代码。

将GitHub的统计数据与Stack Overflow趋势进行比较时,研究人员得到了类似的情况。很难解释为什么关于Go的漏洞没有来自Go存储库的拉取请求那么多。一个令人惊讶的统计数据是Python的使用量迅速而急剧的上升,平均每年增长13%,在十年内几乎翻了两番。

Cloud WAF统计信息

为了了解这些工具在研究人员保护的网站上攻击的传播情况,研究人员创建了一个图表,显示2019年每种工具攻击的网站百分比。研究人员观察到的工具在事件数量和被攻击站点的百分比方面都处于领先地位。大多数站点每个月都会受到Python的攻击,而30%-50%的站点会受到其他工具的攻击。

为此,研究人员决定观察两种最流行、变种最多的攻击——XSS和SQLi,以及通过Go和Python使用这些攻击的尝试。

值得注意的是,到2019年底,Go在两种攻击中都赶上了Python。虽然现在判断这一趋势是否会持续还为时过早,但很容易看出,到2019年底Go已经变得更加流行。

研究人员想检查一下观察到的每种主要攻击类型的工具分布情况:

如你所见,Python在RCE/RFI、文件上传和数据泄漏方面是最强的工具,而Go在常规自动攻击中更强大。

让我们根据来源IP查看工具使用情况的国家/地区分布图:

中国使用Python的方式比其他任何国家都多,而印度选择Go作为其首选工具。很难说为什么,但是鉴于这些国家/地区的网络活动知名度很高,因此新加入这个市场的黑客可能选择了现代工具进行他们的邪恶活动。

根据IP来判断攻击数量

令人惊讶的是,使用该工具进行攻击的IP数量与该工具引发的安全事件数量之间并没有很强的相关性。这可以部分地由这些工具所涉及的攻击类型来解释。复杂的,自动的攻击往往可以协调进行,即大规模大规模攻击。

通过观察事件与IP之间的比率,可以进一步验证该假设。请求率低的工具(可以很容易地用于浏览器模拟)具有非常低的事件IP比率。相比之下,能够轻易生成大规模攻击的工具(如Go和Python)的IP发生率要高得多。

让我们来看看位和字节:

最受欢迎的Python库是请求,Urllib和异步IO

异步IO库的使用自去年以来已经增长,但它仍然排在最后。然而,由于它在用Python编写异步程序时所具有的强大功能,研究人员希望在将来看到更多的增长。

研究人员决定检查一些通常被黑客工具利用的CVE:

首先,大约有700万个HTTP请求是(CVE-2017-9841),这是PHPUnit中的一个远程命令执行漏洞,PHPUnit是一个广泛使用的PHP测试框架。深入了解其历史时,似乎CVE已于2017年6月发布,而修复程序已于2016年11月11日提交。

在2019年9月4日,Drupal发布了关于Mailchimp中一个漏洞的公共服务公告(PSA-2019-09-04),该漏洞使用PHPUnit作为第三方库。此外,2020年1月7日,PrestaShop(用PHP编写的电子商务解决方案)发布了一个安全公告,内容涉及名为XsamXadoo Bot的恶意软件正在利用的PHPUnit漏洞。这些公告使CVE复活,在Twitter上引发了炒作,在该处发布了许多与该漏洞有关的帖子。此外,漏洞数据库(如VulnDB)也更新了与此CVE相关的记录并添加了新链接-例如,2017年在博客中写回的POC,只能通过回溯设备获得。当研究人员检查数据时,尝试找到Go-lang攻击工具使用的流行CVE,研究人员发现,最流行的一个CVE实际上是一组CVE(CVE-2016- 5385,CVE-2016-5386,CVE-2016-5387,CVE-2016-5388,CVE-2016-1000109和CVE-2016-1000110)。所有这些CVE与HTTP_PROXY环境变量中的漏洞(称为“ httpoxy”)有关。

在CGI或类似CGI的上下文中运行的Web服务器可以将客户端请求代理标头值分配给内部HTTP_PROXY环境变量,可以利用此漏洞对内部子请求进行中间人(MITM)攻击或指导服务器启动与任意主机的连接。

让研究人员转到cURL,这是最常见的攻击shell工具。有一个有趣的CVE,在Apache Struts (CVE-2016-3087)中执行远程代码,大约有100K个HTTP请求。Apache Struts是一个免费的、开放源码的模型-视图-控制器(MVC)框架,用于创建优雅的、现代的Java web应用程序。当使用REST插件时,可以执行远程代码!操作符在启用动态方法调用时使用。

缓解措施

如果你有一个客户机分类机制,它可以像查看用户代理那样简单,那么这些见解将允许你轻松地抵御许多常见的攻击。要理性对待这些工具,如果你不期望你的应用程序或部分应用程序被这些工具访问,那么就阻止来自它们的请求。在其他情况下,你可能知道只有特定的IP应该使用这些工具,例如执行运行状况监视的IP,你可能希望单独限制对这些IP的访问。

好了,就给大家介绍到这里吧,希望大家喜欢小编的分享。

别问全不全,用python很多时候都要用自己用pip下载包,肯定是能运行python,适合初学者这个见仁见智,有人喜欢用vs有人喜欢用命令行,没什么好说的内容来自www.zgxue.com请勿采集。


  • 本文相关:
  • 几款黑客工具的使用方法
  • xxencode 编码,xx编码介绍、xxencode编码转换原理与算法
  • delphi - indy idmessage和idsmtp实现邮件的发送
  • 详解inet_pton()和inet_ntop()函数
  • 趣谈unicode、ascii、utf-8、gb2312、gbk等编码知识
  • 微信 小程序前端源码详解及实例分析
  • webpack基础教程之名词解释
  • ie条件语句 ie hack大全
  • hadoop框架起步之图解ssh、免密登录原理和实现方法
  • 关于程序员生活的一份调查,看看你属于哪一个群体吧
  • thymeleaf实现th:each双重多重嵌套功能
  • VS2019可以写python吗
  • 2019学Java好,还是学python好?
  • PyCharm 和vs2019 开发python 哪个好?
  • 用Python,从键盘任意输入一个年,计算这个年是多少天。比如:输入2019年,要首先判断是否闰年
  • 像Dropbox 这样从 Python 转到 Go 语言是不是新的趋势
  • 像Dropbox 这样从 Python 转到 Go 语言是不是新的趋势
  • 2017年学go好还是python好
  • 开发一个网站!后端用go语言,前端用PHP,Ruby还是python呢?
  • 2019年如何选择专业的python培训机构?
  • 五年后哪些编程语言会成为主流,swift还是go,或者python
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全javascriptasp.netphp编程ajax相关正则表达式asp编程jsp编程编程10000问css/htmlflex脚本加解密web2.0xml/rss网页编辑器相关技巧安全相关网页播放器其它综合dart首页几款黑客工具的使用方法xxencode 编码,xx编码介绍、xxencode编码转换原理与算法delphi - indy idmessage和idsmtp实现邮件的发送详解inet_pton()和inet_ntop()函数趣谈unicode、ascii、utf-8、gb2312、gbk等编码知识微信 小程序前端源码详解及实例分析webpack基础教程之名词解释ie条件语句 ie hack大全hadoop框架起步之图解ssh、免密登录原理和实现方法关于程序员生活的一份调查,看看你属于哪一个群体吧thymeleaf实现th:each双重多重嵌套功能最新idea2020注册码永久激活(激活删除svn三种方法delsvn(windows+intellij idea激活码获取方法(ic/s和b/s两种架构的概念、区别和intellij idea2020永久破解,亲测网址(url)支持的最大长度是多少5个linux平台程序员最爱的开发工url中斜杠/和反斜杠\的区别小结提示“处理url时服务器出错”和“thymeleaf实现th:each双重多重嵌套功能关于数据处理包dplyr的函数用法总结xxencode 编码,xx编码介绍、xxencode编码php、java、.net这三种技术的区别分析ai经典书单 人工智能入门该读哪些书?delphi 本地路径的创建、清空本地指定文件详解inet_pton()和inet_ntop()函数关注程序员健康:程序最需要注意的几件事解决vim显示utf-8文件乱码问题从chrome app看微信小程序的发展前景
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved