Exploit框架(framework)并非都是恶意的。像Metasploit这样的工具就对安全专家的工作有积极的促进作用。这些工具对信息安全专家最大的好处就是可以帮助安全人员减少漏洞扫描工具中大量的误报率。首席信息安全官（CISOs）和安全审计员常常感叹的一点就是，漏洞扫描工具报告的许多高危漏洞其实根本就是小题大作，这是工具中存在的错误，认为危险的系统其实并不是。有时候这种误报甚至占到了扫描结果的百分之三十到五十。当CIO把这样一份满是错误的报告交给系统管理行动小组(operations team)时，不光是小组成员们的时间被白白浪费了，CIO的脸面也有点挂不住。让行动小组加固系统并配置系统补丁已经很不容易了，如果CIO还像“狼来了”那个故事里的一样发送给他们的漏洞信息一半都是错的，只会让小组成员的工作难上加难。

　　Metasploit可以帮助减轻这一问题。评估小组(assessment team)先运行漏洞扫描程序，并生成报告。然后对识别到的每一个漏洞都运行Metasploit这样的攻击程序框架进行核实漏洞是否存在。Metasploit框架可以对这个漏洞的存在与否给出一个确信度(degree of certainly)很高的结论，因为它可以让测试程序人员获得目标机器的访问权限。这样，如果真正存在问题，就可以尽快对其进行修复。准确确信度高固然重要，但是值得重视的是框架里的某些攻击很有可能导致目标系统或目标服务崩溃。所以，运行这些工具时一定要保证行动小组随时待命，以便在攻击造成崩溃后能马上重启。

　　除了能提高安全诊断的准确性，exploit框架还能帮我们测试IDS和IPS的功能。有时候， IDS和IPS显得特别地安静。虽然特定的传感器(sensor)通常可能会每天给出12次或更多次告警，但是有时候它还是会很久都不发出一次警告，显得极为安静。在这种情况下，许多IDS和IPS分析师就会难免开始紧张起来，担心它们的监控设备是不是死机了、或是配置出错了、还是根本就无法在网上访问了。综合这些顾虑，我们可能很快碰到一些高超的黑客能够用攻击导致IDS和IPS工具不能工作，并导致传感器失去作用。还有最阴险的攻击就是禁用IDS和IIPS的检测功能，并且让系统无限循环，这样就使得系统看起来好像还在正常运行，而看不到实际存在的攻击。为了确保IDS和IPS正常运行，我们可以考虑用攻击程序框架定期进行一些攻击，比如说一天攻击一次。当然，你也可以用漏洞扫描程序扫描目标网络来检查检测功能是否正常，不过这会触发大量的警告。而一次攻击测试就能让你知道你的检测系统是不是在正常运行，而不会把分析团队整得发狂。

　　Exploit框架在好人手上最常见的用途是用来加强他们的渗透测试活动。使用一套完整的并且不断增强的攻击程序和有效载荷渗透测试员可以把注意力放在攻击行动的整体协调和结果分析上，而不用在单个攻击的研究检查上花费太多的精力。此外，对于那些自己开发攻击代码和有效载荷的测试人员来说，攻击程序框架也为他们提供了良好的开发环境。Exploit框架并不会全自动地进行渗透测试。测试仍然需要由经验丰富的老手来筹划，他还要负责启动包括exploit框架在内的测试工具，并对各种工具的测试结果进行综合分析，还要反复进行这一过程，从而对目标进行更深层次的渗透。如果渗透测试是由你们自己执行，那你的团队可以明显感受到框架带来的好处，它可以让你们在较短的时间内完成更为全面的测试。如果是外部的公司帮你们做这项渗透测试，那你可以问问他们用的是哪种exploit框架，在测试方案中是怎样利用它来增强攻击效果并降低成本的。

　　攻击程序框架还为我们带来了另一个不容忽视的好处：它能提高管理人员对安全实践重要性的认识。大多数的安全人员都得费很大的劲才能让管理层明白现在他们面临着多大的安全威胁，强调他们现在多么需要加固系统，多么需要彻底进行修补，多么需要可靠的应急响应能力。有时候，管理层都对这种没完没了的强调麻木了。不过，一次攻击往往比你说上一堆的话还管用。你可以用一种exploit程序框架做一个演示实验，比如采用Metasploit。首先组建一没有缺少针对框架中的特定攻击的关键补丁的目标系统，然后在目标机器里放上一份内容为“请勿窃取这份重要文件”的文本文件样本。再选择一个可靠的攻击程序来用作演示。在你确保演示能成功之后，就可以邀请你们的管理层来看看，攻击者用Metasploit的点击式Web界面对目标发起攻击是多简单的一件事。抓取那份敏感文件展示给这些观众看看。许多管理人员在第一次接触这些工具时，对它们的强大功能和简易性惊讶得下巴都要掉了。当他们意识到问题的严重性之后，你对那些安全资源的请求肯定就更容易被批准了。这一切都归功于你使用的那个可靠的exploit框架。