信息安全专业的学生可以用手机做什么？| 知道

信息安全行业作为新技术开发和应用的先行者，在新技术催生新场景、新业态的前提下，对软件开发、运维、业务自动化以及安全防御的要求也越来越高。基于此，信息安全行业得到了社会各界更加广泛的关注，也有越来越多的安全人才受到企业的青睐。

作为连续三年登顶“绿牌专业”的专业，信息安全的热度一直居高不下，但同时也面临着一些问题，最显著的就是人才缺口巨大。所以，目前对于信息安全行业来说，需要一些既拥有扎实的理论知识、又具备丰富实践经验的人才。

比如，可以通过学习编程语言、漏洞原理、测试流程、测试工具、网站架构、通讯协议等，逐步了解像渗透、免杀、破解、木马、抓鸡、拿站、入侵、社会工程学、嗅探、监听等常用术语，再去进一步掌握各种漏洞、端口知识。

对于一些在校大学生和其他信息安全爱好者来说，在学习理论知识的同时，也可以利用一些碎片化的时间去积累实践经验。现如今，填补人们大段时间的物件之一当属手机了，随着新技术和新应用能力的不断提升，智能手机不仅功能性越来越强，部分硬件标准也达到了初级桌面计算机的水平，电脑能做到事情，智能手机基本上也能做到。所以，大可以利用手机上常用的工具软件来进行渗透测试等实践。

1、Termux

作为非常好用、门槛较低的Android高级终端模拟器，Termux开源且不需要root，支持apt管理软件包，还完美支持Python、PHP、Ruby、Go、Nodejs、MySQL等脚本语言。

尤其是Termux可以很好的支持Python，几乎所有用Python编写的安全工具都是可以完美的运行使用的。Termux在手机上可以运行的黑客工具比较多，比如——

Metasploit：这是一个附带数百个已知软件漏洞的漏洞框架，在黑客圈中非常受欢迎。黑客或者渗透测试者可以通过它进行攻击或测试一个系统、应用或服务中的安全漏洞。

Hydra：作为一款开源密码攻击工具，Hydra支持多种协议的破解；经常有不法黑客使用这一工具对密码进行暴力破解。

Nmap：一款网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但也有不少骇客会利用nmap来搜集目标电脑的网络设定从而进行攻击。

2、dSploit

dSploit是一款Android平台上的网络分析和渗透套件，可以用来发现、捕捉和发现网络包。只要启动dSploit，操作者就可以轻松地映射普通用户的网络，发现活动主机和运行的服务并搜索已知漏洞，实现多种TCP协议登录破解，发起中间人攻击如密码嗅探、实时流量操控等等。

dSploit功能模块

3、Kali Linux NetHunter

“如果你听到一个 13 岁的黑客吹嘘他是多么的厉害，是有可能的——因为有Kali Linux的存在。”在2018年的DEF CON安全大会上，两名11岁的小黑客就在佛罗里达州州务卿的模拟网站中植入了SQL注入代码，并在15分钟内攻入网站后台，修改了投票计数报告。

事实上，Kali Linux把尽可能多的渗透和审计工具囊括在一起，是安全专家们手头重要的工具；而Kali Linux NetHunter则是基于Android系统的版本，专为渗透测试人员打造了渗透测试平台。

通过搭载相关工具包，能为Android设备增加无线破解、HID攻击等硬件功能，以及NMAP、SQLMap、Metasploit等黑客工具，骇客可以使用它进行伪造WIFi热点、发动远程攻击，其功能一应俱全。

除了上述工具外，手机还可以当做操作器，通过连接远程服务器的方式来发起网络攻击。虽然因为其屏幕小、手机代码阅读困难给黑客带来一定的麻烦，但这种攻击方式完全不受具体系统或硬件设备的限制，具备较高的隐蔽性和机动性——上一分钟，还在咖啡厅里用公共wifi远程攻击了一个服务器，下一分钟，已经悠闲地端着一杯咖啡走在了回家的路上。

看到这里，是不是觉得渗透测试的操作类似于黑客入侵？在这里有必要强调一下渗透测试和入侵的区别，渗透测试是出于保护系统的目的，旨在更全面地找出测试对象的安全隐患；入侵则是不择手段地（甚至是具有破坏性地）获取系统权限。

渗透测试本身是对抗不法黑客的操作，是专业安全人员为找出系统中的漏洞而进行的，这也是进行攻击前的第一个环节，可以理解为对抗黑客过程中的“以彼之道还施彼身”。

像腾讯安全玄武实验室曾经在挖掘过“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”和“BadPower”等漏洞之后就迅速将安全问题研究报告提交至业内，从而修复安全漏洞，维护行业安全。其实找出问题不是目的，解决问题、保障安全形势才是关键所在。

事实上，随着智能终端的进化，白帽黑客以及诸多信息安全从业者，包括不法黑客在内，其攻防边界正在逐步朝着更加多样化的终端过渡，IoT已成为信息安全的未来战场。

科技向善，技术的纵深研究、新高科技的实践，始终应围绕如何让社会大众生活更美好而前行，黑客技术亦然。技术把双刃剑，如何用好这把剑，最终还是由人来把控，毕竟杀人的不是枪，而是开枪的人，不要擦枪走火、误入歧途才好。