不久之后，Python 将成为世界上最流行的编程语言。虽然这只是一种说法，但其简约、灵活和易用性让人趋之若鹜。Python 在恶意人员那里又是怎样一番景象？

开展这种调查的最佳地方当然是 GitHub。通过初步预测可知，在实现攻击工具/利用 PoC 的 GitHub仓库中，超过20%的仓库用 Python 编写而成。在所有和安全相关的 GitHub 主题中，大多数仓库用 Python 编写而成，包括 w3af、Sqlmap、甚至是臭名昭著的 AutoSploit 工具。

Imperva 公司分析安全事件数据显示，所识别的大多数客户端（＞25%）基于 Python 编写而成。不同于其它客户端，在 Python 中出现很多不同的攻击向量和对已知利用的使用。黑客和开发人员一样，都因为 Python 优于其它语言的特点而使其成为一种流行的黑客工具。

Imperva 公司调查显示，在针对所保护的站点攻击中，多达77%的攻击使用的是基于 Python 的工具，而且在超过三分之一的案例中，基于 python的工具执行大多数日常攻击。这种情况显示基于 python 的工具用于深度和广度扫描。

Web 攻击中使用的两大最流行的 python 模块是 Urllib 和 PythonRequests。而新模块 Async IO 也是黑客开始使用的另一大模块。

Python 在编程语言方面的优势使其成为执行已知利用代码的流行工具。Imperva 研究人员收集了一款 Python 工具最近使用的前10大漏洞的情况。在前两个月中，两大最流行的攻击使用的是 CVE-2017-9841 漏洞（存在于 PHPUnit 框架中的基于 PHP 的远程代码执行漏洞）和 CVE-2015-8562（它是针对 Joomla! 框架的 RCE 漏洞）。RCE 漏洞的价值由此可见一斑。

另外一个例子是 CVE-2018-1000207，它并不在十大漏洞列表之列。在2018年8月的最后一周的几天时间里，每天都被用于发动数百起攻击活动。

研究人员分析发现，攻击者使用的 CVE 数量在过去几年中有所增长。

另外，Python 用于针对具体的应用程序和框架发动攻击，如 Struts、WordPress、Joomla和 Drupal。这些框架的流行程度也可见一斑。

报告还指出，由于 Python 如此受攻击者青睐，因此存在很多不同的攻击向量。Python 要求最少的编程技能，因此易被用于编写脚本和利用漏洞。

原文来自：http://www.codesafe.cn/index.php?r=news/detail&id=4483

本文地址：https://www.linuxprobe.com/hakcer-choose-python.html编辑：薛鹏旭，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/