计算机世界网消息 安全世界有一种共识，即易用的脚本代码就能够破坏系统的安全，也即所谓的“剥削”，对互联网是一种威胁。Metasploit项目及其创始人摩尔希望改变这种看法。

　　Metasploit项目于当地时间本周三发布了最新的设计框架，对主要的Metasploit工具进行了扩展，帮助安全专家检查网络上计算机的安全，并识别出容易受到新公布的缺陷攻击的计算机。被称作MetasploitFramework2.0的这一升级后的框架使人们能够为该工具开发标准化的插件，使他们能够利用最新的安全漏洞合法地侵入计算机。该工具已经有了18种“剥削”方式和27种可能的不同载荷。

　　据摩尔称，这一工具能够帮助系统管理员发现并修正容易受到最新安全缺陷的系统，因此能够阻止潜在的入侵者破坏企业网络的安全。他说，这是一款很好的研究工具，30%的Metasploit工具的β测试者都是试图修正客户网络中漏洞的安全顾问。其它企业则使用该工具预先发现应用中的缺陷。

　　但安全研究人员称，这样的工具可能成为网络黑客的朋友，它可以自动地探测存在缺陷的服务器，使得即使没有多少相关知识的黑客也能够攻破计算机的安全系统。市场调研厂商Forrester公司最近发表的一份有关软件安全威胁的报告指出，在不负责任的开发脚本化的安全工具后，攻击事件呈现爆炸性上升的趋势。许多批评人士也赞同这一观点，他们说，这种缺陷测试脚本将需要很高的技术水平才能够完成的工作简化到只需要运行几个命令，使许多人都能够“有幸”成为网络攻击者。

　　SANS协会负责培训和认证的主管斯蒂芬说，但是，Metasploit工具确实能够使繁忙的网络系统管理员做与黑客相同的工作。特别是，该工具能够使他们节省编写代码所需要的大量时间。他说，担心该工具被用于恶意目的是很自然的，但是，攻击者已经自己开发了他们的利用缺陷的方法，因为这一工具几乎没有什么影响。

　　即使是摩尔也承认，他们的工具将使利用缺陷发动攻击变得更简单，但是他认为，在帮助系统管理员发现系统中的缺陷方面，该工具的价值是无法衡量的。他说，目前的问题是，直到能够利用缺陷攻击系统的工具出现前，许多组织都不会修正它们的系统。但前提是，这些工具不仅是有用的，而且必须是完成许多合法工作所必须的。

　　事实上，许多企业也开发出了使用相似技术的相似工具和软件，以完成帮助系统管理员发现系统缺陷的工作。惠普公司在2月份就宣布，它已经开发了一款自动攻击工具，用于测试网络的数字免疫系统。

　　为了防止被恶意使用，Metasploit项目在其软件中添加了使安全产品能够识别出攻击是由该工具发动的信号。但摩尔承认，这类软件的广泛使用可能使一些网络系统管理员的工作更辛苦。

　　小芹 编译