信息安全专业的学生可以用手机做什么?| 知道

  • A+
所属分类:安全闲碎


腾讯安全联合实验室

知乎问答专栏——

【知道】

信息安全专业的学生可以用手机做什么?| 知道


提问来源 知乎


一个黑客能用一台手机做到什么事情?

随着互联网技术的迅猛发展和广泛应用,信息安全面临的威胁日益严重,各行业、企业的安全评估和安全测试需求也随之增多。自去年网络安全等级保护制度2.0标准正式发布并实施后,企业建立常规渗透测试的项目机制也已经成为一个硬性要求,这对于提高安全防御的整体水平来说,意义十分重大。

 

信息安全行业作为新技术开发和应用的先行者,在新技术催生新场景、新业态的前提下,对软件开发、运维、业务自动化以及安全防御的要求也越来越高。基于此,信息安全行业得到了社会各界更加广泛的关注,也有越来越多的安全人才受到企业的青睐。

 

作为连续三年登顶“绿牌专业”的专业,信息安全的热度一直居高不下,但同时也面临着一些问题,最显著的就是人才缺口巨大。所以,目前对于信息安全行业来说,需要一些既拥有扎实的理论知识、又具备丰富实践经验的人才。


信息安全专业的学生可以用手机做什么?| 知道

比如,可以通过学习编程语言、漏洞原理、测试流程、测试工具、网站架构、通讯协议等,逐步了解像渗透、免杀、破解、木马、抓鸡、拿站、入侵、社会工程学、嗅探、监听等常用术语,再去进一步掌握各种漏洞、端口知识。

 

对于一些在校大学生和其他信息安全爱好者来说,在学习理论知识的同时,也可以利用一些碎片化的时间去积累实践经验。现如今,填补人们大段时间的物件之一当属手机了,随着新技术和新应用能力的不断提升,智能手机不仅功能性越来越强,部分硬件标准也达到了初级桌面计算机的水平,电脑能做到事情,智能手机基本上也能做到。所以,大可以利用手机上常用的工具软件来进行渗透测试等实践。

 

1、Termux

 

作为非常好用、门槛较低的Android高级终端模拟器,Termux开源且不需要root,支持apt管理软件包,还完美支持Python、PHP、Ruby、Go、Nodejs、MySQL等脚本语言。

 

尤其是Termux可以很好的支持Python,几乎所有用Python编写的安全工具都是可以完美的运行使用的。Termux在手机上可以运行的黑客工具比较多,比如——

 

Metasploit:这是一个附带数百个已知软件漏洞的漏洞框架,在黑客圈中非常受欢迎。黑客或者渗透测试者可以通过它进行攻击或测试一个系统、应用或服务中的安全漏洞。

 

Hydra:作为一款开源密码攻击工具,Hydra支持多种协议的破解;经常有不法黑客使用这一工具对密码进行暴力破解。

 

Nmap:一款网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但也有不少骇客会利用nmap来搜集目标电脑的网络设定从而进行攻击。

 

2、dSploit

 

dSploit是一款Android平台上的网络分析和渗透套件,可以用来发现、捕捉和发现网络包。只要启动dSploit,操作者就可以轻松地映射普通用户的网络,发现活动主机和运行的服务并搜索已知漏洞,实现多种TCP协议登录破解,发起中间人攻击如密码嗅探、实时流量操控等等。


信息安全专业的学生可以用手机做什么?| 知道dSploit功能模块


3、Kali Linux NetHunter

 

“如果你听到一个 13 岁的黑客吹嘘他是多么的厉害,是有可能的——因为有Kali Linux的存在。”在2018年的DEF CON安全大会上,两名11岁的小黑客就在佛罗里达州州务卿的模拟网站中植入了SQL注入代码,并在15分钟内攻入网站后台,修改了投票计数报告。

 

事实上,Kali Linux把尽可能多的渗透和审计工具囊括在一起,是安全专家们手头重要的工具;而Kali Linux NetHunter则是基于Android系统的版本,专为渗透测试人员打造了渗透测试平台。

 

通过搭载相关工具包,能为Android设备增加无线破解、HID攻击等硬件功能,以及NMAP、SQLMap、Metasploit等黑客工具,骇客可以使用它进行伪造WIFi热点、发动远程攻击,其功能一应俱全。

 

除了上述工具外,手机还可以当做操作器,通过连接远程服务器的方式来发起网络攻击。虽然因为其屏幕小、手机代码阅读困难给黑客带来一定的麻烦,但这种攻击方式完全不受具体系统或硬件设备的限制,具备较高的隐蔽性和机动性——上一分钟,还在咖啡厅里用公共wifi远程攻击了一个服务器,下一分钟,已经悠闲地端着一杯咖啡走在了回家的路上。

 

看到这里,是不是觉得渗透测试的操作类似于黑客入侵?在这里有必要强调一下渗透测试和入侵的区别,渗透测试是出于保护系统的目的,旨在更全面地找出测试对象的安全隐患;入侵则是不择手段地(甚至是具有破坏性地)获取系统权限。

 

渗透测试本身是对抗不法黑客的操作,是专业安全人员为找出系统中的漏洞而进行的,这也是进行攻击前的第一个环节,可以理解为对抗黑客过程中的“以彼之道还施彼身”。

 

像腾讯安全玄武实验室曾经在挖掘过“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”和“BadPower”等漏洞之后就迅速将安全问题研究报告提交至业内,从而修复安全漏洞,维护行业安全。其实找出问题不是目的,解决问题、保障安全形势才是关键所在。

 

事实上,随着智能终端的进化,白帽黑客以及诸多信息安全从业者,包括不法黑客在内,其攻防边界正在逐步朝着更加多样化的终端过渡,IoT已成为信息安全的未来战场。

 

科技向善,技术的纵深研究、新高科技的实践,始终应围绕如何让社会大众生活更美好而前行,黑客技术亦然。技术把双刃剑,如何用好这把剑,最终还是由人来把控,毕竟杀人的不是枪,而是开枪的人,不要擦枪走火、误入歧途才好。



信息安全专业的学生可以用手机做什么?| 知道


Tip:如何将我们设为星标


信息安全专业的学生可以用手机做什么?| 知道

腾讯安全联合实验室

信息安全专业的学生可以用手机做什么?| 知道

扫码关注  了解更多资讯

信息安全专业的学生可以用手机做什么?| 知道

点击“阅读原文”,了解更多精彩回答

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: