国内外都有漏洞搜索引擎,它抓取DNS、Whois、Robot.txt、Sitemap,还记录Web服务器、CMS等一堆信息。
网站光让它们扫,很耗流量,而且玩意哪天真有漏洞被扫出来了就完蛋了。
服了,这些玩意虽然是工具,但是也可以被用来干坏事,黑客用这些东西勒索别人,平台不用承担任何责任吗?
商业规模的漏洞搜索引擎应该有注册的公司为服务收取金额,这些公司在运营引擎服务的过程中只要负责配合当地政府的政策和监管就是合法的,和服务被用来做坏事没什么关系;
除非受到管辖范围以外群体的强大压力。
ElasticSearch http.status:200 country:”CN”
在shodan用以上语句查询,可以搜索到2983台未设密码,位于中国的ElasticSearch实例,说不定能再来一次SHGA。
shodan这种漏洞搜索引擎,是情报工具而不是黑客工具。它只不过是忠实地曝光网上有多少台易受攻击的服务器。至于是否攻击,取决于你,也就是使用者手上。
工具无罪,菜刀能切菜,当然也能砍人。Tor网络能被用于犯罪用途,也能为记者服务。漏洞搜索引擎同样也能为白帽服务。