以下哪种脚本语言更适合笔测试?[闭门]

您可能想要Ruby,因为它是Metasploit的本地语言,Metasploit是事实上的标准开源渗透测试框架。Ruby将为您提供:

• Metasploit's 框架、操作码和外壳码数据库
• Ruby lorcon
• Metasploit对802.11客户端重定向的KARMA绑定。
• Libcurl net/http用于编写web工具。
• EventMachine
• Metasm 用于外壳代码生成。
• Distorm 用于x86反汇编。
• BinData 用于二进制文件格式模糊。

第二位是Python。Python中提供的pentesting库比Ruby中的多(但不足以抵消Metasploit)。商业工具也倾向于支持Python——如果您是一个客户或核心影响客户,那么您需要Python。Python为您提供了:

• Twisted 用于网络访问。
• PaiMei
• Dornseif's 用于远程调试的firewire库。
• Ready integration with WinDbg 对于远程Windows内核调试(Ruby中对于内核调试仍然没有很好的答案,这就是为什么我仍然偶尔使用Python的原因)。
• Peach Fuzzer 还有萨利的头发模糊。
• SpikeProxy用于web渗透测试(也包括, OWASP Pantera ).

毫不奇怪,很多web工作都使用Java工具。事实上,标准的web pentest工具是Burp Suite,它是一个Java swing应用程序。Ruby和Python都有Java变体,您可以使用它们访问类似的工具。此外,Ruby和Python都提供:

• 与libpcap直接集成,用于原始数据包工作。
• 用于加密的OpenSSL绑定。
• IDA Pro扩展。
• WxWindows用于UI工作,而web UI则具有良好的web堆栈。

[免责声明:我主要是一名Perl程序员,这可能会影响我的判断。然而,我不是一个特别的部落,我认为在这个特定的问题上,我的论点是相当客观的。]

Perl被设计成无缝地融入到Unix环境中,这就是为什么它对主要具有OO背景的人(尤其是Java学派的OOP)感觉如此陌生的原因。然而,出于这个原因,它被广泛地安装在具有任何Unixoid操作系统的机器上,许多厂商的系统实用程序都是用它编写的。同样出于同样的原因,既没有安装Python也没有安装Ruby的服务器上仍然可能安装Perl,这也使得熟悉Perl非常重要。因此,如果您的CEH活动包括Unix上的大量活动,那么无论如何您都必须对Perl有一定的了解,您也可以专注于它。

尽管如此,这在很大程度上是一个偏好问题。语言之间没有太多区别;他们的表达能力几乎相同。有些事情在其中一种语言中更容易一些,有些在另一种语言中更容易一些。

就库而言,我不知道Ruby和Python如何相互比较,我知道Perl在一定程度上击败了它们。再说一次,有时候(特别是当你在寻找满足共同需求的图书馆时),这样做的唯一效果就是你被各种选择淹没了。如果您只想在Python或Ruby库所涵盖的特定领域做一些事情,那么 另外 CPAN上的东西不一定是优势。然而,在利基领域,这很重要,你永远不知道你最终会有什么不可预见的需求(呃,顾名思义)。

对于命令行中的一种线性用法,Python是一种非初学者。

就交互式解释器环境而言,Perl嗯,您可以使用调试器,这不是很好,或者您可以从CPAN安装一个调试器,但是Perl本身并没有提供一个好的调试器。

令人不快的 选择

我可以为这三个论点辩护:-)

Perl拥有CPAN的所有功能—在快速整合功能方面为您提供了巨大的优势。它还有一个非常灵活的测试基础设施,这意味着您可以在同一个框架中插入许多不同的自动化测试样式(包括其他语言的测试)。

Ruby是一门很好学的语言,它缺少Perl5中的一些精髓。如果您正在进行基于web的测试,那么它还具有watir库,这对trez非常有用(请参阅 http://wtr.rubyforge.org/ )

Python——很好的语言(虽然这不是我个人的喜好),一些人发现它的结构更容易掌握。

与其看语言,不如看你的工作环境。如果你身边有其他人也在做类似的事情,学习这些东西总是比较容易的。如果您当前的开发/测试人员已经将注意力集中在上面的一个方面,我会这样做。如果没有,请选择对您当前的工作环境最适用/最有用的。与团队其他成员聊天,了解他们的想法。

这取决于实现,如果它是分布式的,我会选择Java,正如您所知,因为它的可移植性。如果只是内部使用,或将在半受控环境中使用,则选择您最喜欢的维护方式,以及最具长期前景的方式。

现在回答这个问题,我会选择Perl,但我是一个linux爱好者,所以我可能对此有点偏见。

如果您计划使用Metasploit进行笔测试和开发,我建议您使用ruby,正如前面提到的,Metasploit是用ruby编写的,您可能希望进行的任何开发/模块开发都需要ruby。

如果您将使用免疫画布进行笔测试,那么出于同样的原因,我建议使用Python,因为画布是用Python编写的。另外,像Peach和Sulley这样的模糊框架也是用Python编写的。

我不推荐Perl,因为您会发现与笔测试/模糊化/漏洞利用相关的工具/脚本/框架很少。。。在Perl中。

希望有帮助:)

作为CEH,首先学习CEH材料。这将使您暴露于用于装载各种攻击的各种工具和平台。一旦您很好地理解了您的目标,就可以查看现有工具和平台的功能(前面提到的metasploit框架非常全面和健壮)。如何扩展它们以满足您的需求?一旦知道了这一点,就可以比较这些语言的功能。

我还建议您查看一下网站上提供的工具 BackTrack 发行版。

如果您正在寻找一种能够很好地使用Java的脚本语言,那么您可能需要看看Groovy。它具有Perl(闭包、内置正则表达式、每个角落的关联数组)的灵活性和功能,但您可以从中访问Java代码,因此您可以访问大量库,尤其是正在开发的系统的其余部分。

metasploit 是一个很好的渗透测试框架。它主要是用Ruby编写的,所以如果你对这门语言很熟悉,也许你可以在那里学习。但是, 使用 metasploit,你根本不需要懂任何语言。

Grey Hat Python . 它展示了一些非常有趣和相关的东西。

也就是说,任何语言都可以。

你在想什么样的功绩?如果您想编写一些需要低级内容(ptrace、原始套接字等)的东西,那么您需要学习C语言。但是Perl和Python都可以使用。真正的问题是哪一个更适合你的风格?

我是tqbf的。我使用过Python和Ruby。目前我正在使用JRuby。它拥有Ruby的所有功能,可以访问Java库,因此如果您确实需要一种低级语言来解决某些问题,您可以使用高级语言来解决。到目前为止,我还没有真正需要使用太多的Java,因为Ruby能够完成我作为API测试人员所需要的一切。