框架汇总

pyhton开发框架

  1. Web开发框架(后端)

Django (全能型):

  • 特点: "Batteries included"(电池内置),自带 ORM、后台管理系统 (Admin)、认证系统。
  • 适用: 快速开发内容管理系统 (CMS)、企业级应用、电商平台。

Flask (微框架):

  • 特点: 极简,核心很少,灵活性极高,插件丰富(如 Flask-SQLAlchemy, Flask-Login)。
  • 适用: 小型项目、微服务、需要高度定制化的系统。

FastAPI (高性能):

  • 特点: 基于 Python 类型提示 (Type Hints),速度极快(基于 Starlette 和 Pydantic),原生支持异步 (async/await),自动生成 Swagger 文档。
  • 适用: 高并发 API 服务、机器学习模型部署、现代前后端分离架构。(目前最推荐的 Python API 框架)

  1. 数据科学与 AI 框架

  • PyTorch / TensorFlow: 深度学习领域的双子星。PyTorch 目前在学术界和研究领域更受欢迎,TensorFlow 在工业部署上有积累。
  • Pandas / NumPy: 虽然严格来说是库 (Library),但在数据处理领域起到了框架级的作用。

  1. 爬虫与自动化

  • Scrapy: 最强大的 Python 异步爬虫框架,支持多线程、中间件、管道处理。
  • Selenium / Playwright: 浏览器自动化框架,常用于爬取动态网页或进行 UI 自动化测试。

安全/自动化框架

以下框架你可能会感兴趣,它们多用于编写 POC (概念验证) 或 EXP (漏洞利用):

Pocsuite3 (Python): 知道创宇开源的远程漏洞测试框架。你可以用 Python 编写 POC 脚本,它提供了类似 sqlmap 的命令行交互体验。

Metasploit Framework (MSF) (Ruby): 全球最著名的渗透测试框架。虽然核心是 Ruby 写的,但它支持 Python 扩展。它集成了扫描、漏洞利用、Payload 生成、后渗透(Post-exploitation)等全流程功能。

Impacket (Python): 这不是一个传统意义上的“框架”,而是一组处理网络协议的 Python 类库。它是编写内网渗透工具(如横向移动、NTLM 中继)的基石。很多黑客工具都是基于它开发的。

渗透测试/利用框架

这些是安全人员用来管理漏洞、生成攻击载荷(Payload)、进行渗透攻击的集成平台。

1. Metasploit Framework (MSF)

  • 地位: 渗透测试界的“瑞士军刀”,绝对的标准。
  • 特点: 拥有全球最大的 Exploit(攻击脚本)数据库。你不需要自己写代码,只需要配置 use exploit/windows/smb/ms17_010 -> set RHOSTS -> exploit 即可。
  • 用途: 漏洞验证、Shell 获取、内网渗透。

2. Cobalt Strike (CS)

  • 地位: 红队(Red Team)神器,APT 攻击模拟的首选。
  • 特点: 重点不在于“找漏洞”,而在于后渗透(Post-Exploitation)。它的 Beacon 模式非常隐蔽,擅长团队协作、权限维持、钓鱼攻击和内网横向移动。
  • 用途: 域渗透、C2(命令与控制)通信。

3. Pocsuite3 / Goby

  • Pocsuite3: 一个基于 Python 的开源 POC(概念验证)框架,专门用来编写和批量验证漏洞脚本。
  • Goby: 近几年国内非常火的资产测绘与漏洞验证工具,界面可视化做得好,能自动识别资产指纹并匹配漏洞。

4. Yakit / Burp Suite (插件框架)

  • Burp Suite: 虽然是代理工具,但其 Extender 模块让它成为了 Web 渗透的顶级框架。
  • Yakit: 被称为“年轻人的第一个单兵渗透平台”,实现了 GUI 化的网络发包和漏洞检测,支持类似 MITM 的操作。

常见的高危漏洞框架

1. Java 中间件/框架“四大天王” (反序列化漏洞重灾区)

Java 的生态决定了它极易出现反序列化漏洞,这也是目前高阶渗透必须掌握的领域。

  • Apache Shiro:
    • 核心问题: 默认密钥(Hardcoded Key)导致的反序列化 RCE(远程代码执行)。
    • 经典漏洞: Shiro-550 (RememberMe), Shiro-721 (Padding Oracle).
  • Apache Log4j2:
    • 核心问题: JNDI 注入。
    • 经典漏洞: Log4Shell (CVE-2021-44228),被称为“核弹级”漏洞,因为几乎所有 Java 应用都用它记日志。
  • Fastjson (阿里巴巴开源的 JSON 库):
    • 核心问题: 解析 JSON 时自动调用 getter/setter 方法,导致恶意类被加载。
    • 现状: 补丁和绕过(Bypass)持续博弈了很长时间。
  • Apache Struts2:
    • 地位: 以前的“漏洞之王”,S2-045 等漏洞曾让无数网站沦陷。虽然现在新项目用得少了,但老系统依然大量存在。

2. PHP 框架

  • ThinkPHP: 国内使用极其广泛。其 5.x 版本存在多个输入验证不严导致的 RCE 漏洞,是脚本小子批量扫描的首选目标。
  • Laravel: 虽然相对安全,但在开启 Debug 模式或特定链利用下也存在反序列化风险。

3. 企业级应用/OA 系统

在中国市场的渗透测试中,攻击这些集成的办公系统往往比攻击 Web 框架更有效:

  • 泛微 (Weaver) e-Cology / e-Bridge
  • 致远 (Seeyon)
  • 通达 (TongDa)
  • 用友 (Yonyou) NC
  • 原因: 这些系统通常代码庞大、逻辑复杂、历史包袱重,常包含 SQL 注入、任意文件上传等“低级但致命”的漏洞。
posted @ 2026-01-27 15:50  安清灵风  阅读(0)  评论(0)    收藏  举报