近期出現了可綜合利用Shodan裝置搜尋引擎和Metasploit滲透測試工具的Python程式碼。該程式碼會用Shodan.io自動搜尋有漏洞的線上裝置，隨後使用Metasploit的漏洞利用資料庫劫持計算機和其他線上裝置。

                學習Python中有不明白推薦加入交流群
                號：516107834
                群裡有志同道合的小夥伴，互幫互助，
                群裡有不錯的學習教程！

只需點選執行，該指令碼就會爬取網際網路，尋找可以攻擊的脆弱主機（通常是因為沒打補丁），並自動取得對這些主機的控制權。完全無需什麼高階的黑客技術。

這段 Python 2.7 指令碼名為AutoSploit，是暱稱為"Vector"的使用者於本週上傳到GitHub上的，會在通過Shodan搜尋引擎收集到目標後（需 API 金鑰）嘗試呼叫Metasploit模組攻擊目標。

Metasploit是模組化開源滲透測試工具，內含軟體和其他產品的安全漏洞利用程式碼塊，可以抽取各類系統的資訊，或者在裝置上開啟遠端控制。Shodan可以搜尋面向公網的計算機、伺服器、工業裝置、網路攝像頭和其他裝置，搜出這些裝置的開放埠和可利用的服務。

GitHub程式碼庫上寫道："精選了Metasploit模組輔助遠端程式碼執行，嘗試建立反向 TCP Shell 和Meterpreter會話。"

因為此類自動化攻擊可能帶來法律問題，該程式碼庫還附了一份警告，稱在易被追蹤溯源的機器上執行該程式碼不是明智的做法。

一些安全同行認為將此自動化攻擊程式碼公佈本身就不是什麼好主意，與Shodan的聯絡就已經在法律的邊緣試探了。將可大規模漏洞利用公共系統的程式碼放到指令碼小子觸手可及的範圍是不合理的。"可以做"和"該不該做"是兩碼事。這事兒有可能得悲劇收場。

但同時，將漏洞掃描和漏洞利用明確聯絡起來的做法可能蘊含有一定價值。該操作昭示出自動化可以擊敗安全防禦。

該工具的作者Vector稱該程式碼被安全社群廣為接受。

當然，批評是少不了的，但任何工具只要實現了某種程度的攻擊自動化，都會遭到批判。

任何事物都有正反兩面，全看你怎麼用。我可不是資訊看門人，資訊應該是共享的，我不過是開源擁護者而已。