信息安全概念的出现远远早于计算机的诞生，但计算机诞生后，尤其是网络 出现以后，信息安全变得更加复杂。现代信息安全区别于传统意义上的信息介质 安全，是专指电子信息的安全。信息安全作为一门新兴的学科，在当今的信息化 时代背景下，已经逐步扩充到以计算机技术为核心，包括网络技术、通信技术、 密码技术、信息安全技术、数论、信息论等多种学科相结合的综合性学科。

纵观信息安全发展的历史，其概念与内涵也在随着时间的推移而不断变化。 信息安全发展历史，大致可分为如下四个时期。

第一时期是通信安全时期，其主要标志是1949年C.Shannon发表的“保密系统  的通信理论”一文，开辟了用信息论来研究密码学的新思路，使他成为近代密码理 论的奠基者和先驱，而由于当时信息技术不发达，信息安全的范围仅限于保障计  算机的实体安全以及通过密码解决通信安全的保密问题。

第二时期是计算机安全时期，主要标志是1983年美国国防部公布了《可信计 算机系统评估准则》（Trusted Computer System Evaluation Criteria ，TCSEC），

计算机和网络技术的应用进入了实用化和规模化阶段，数据的传输已经可以通过 计算机网络来完成，这时，“ 安全” 的概念已经不仅仅是计算机实体的安全，也包 括软件与信息内容等的安全。

第三时期是20世纪90年代发展壮大的网络时代，由于互联网技术的爆炸式发 展，世界信息技术的革命使许多国家把信息化作为国策，美国发布“信息高速公

路”等政策，我国也于1994年颁布了第一个计算机安全方面的法律《中华人民共和 国计算机信息系统安全保护条例》，在这一时期，许多企事业单位开始把信息安  全作为系统建设中的重要内容之一，并且一些学校和研究机构开始将信息安全作  为大学课程和研究课题，信息安全人才的培养开始起步，这也是中国信息安全产  业发展的重要标志。

第四时期是进入21世纪后的信息安全保障时代，主要标志是《信息保障技术 框架》（IATF）的发表。现阶段人们几乎全方位依赖计算机网络，从技术来上来 讲，信息安全保障不再是只建立防护屏障，而是建立一个“深度防御体系” ；不再 是被动地保护自己，而是主动地防御。从政策上来讲，我国高度重视信息安全工 作，2014年2月27日，中央网络安全和信息化领导小组成立；2014年11月19日，

我国举办了规模最大、层次最高的互联网大会——第一届世界互联网大会；2015 年7月6日，《中华人民共和国网络安全法》公布；2016年12月，国家互联网信息 办公室发布了《国家网络空间安全战略》。随着国家对信息安全行业的重视和相 关法律法规的出台，标志着信息安全已经上升到与政治安全、经济安全、领土安 全等并驾齐驱的战略高度。

 

 

 

 

1.互联网起源

1968年，美国国防部高级研究计划局组建了一个计算机网络，名为

ARPANET（Advanced Research Projects Agency Network ，又称“ 阿帕” 网）。按央 视的数据，新生的“ 阿帕” 网获得了美国国会批准的520万美元的筹备金及两亿美元 的项目总预算，是当年中国国家外汇储备的3倍。时逢美苏冷战，美国国防部认  为，如果仅有一个集中的军事指挥中心，万一被苏联摧毁，全国的军事指挥将处 于瘫痪状态，所以需要设计一个分散的指挥系统。由一个个分散的指挥点组成，

当部分指挥点被摧毁后，其他指挥点仍能正常工作，而这些分散的指挥点又能通 过某种形式的通信网取得联系。

1969年，“ 阿帕” 网第一期投入使用，有4个节点，分别位于加利福尼亚大学洛 杉矶分校、加利福尼亚大学圣巴巴拉分校、斯坦福大学以及位于盐湖城的犹他州 州立大学。位于各个节点的大型计算机采用分组交换技术，通过专门的通信交换 机（IMP）和专门的通信线路相互连接。一年后“ 阿帕” 网扩大到15个节点。1973    年，“ 阿帕” 网跨越大西洋利用卫星技术与英国、挪威实现连接，扩展到了世界范  围。

互联网就萌芽于此。据说，用互联网发送的第一条信息是“Lo” 。1969年10月 29日晚上10点30分，克兰罗克在洛杉矶向在斯坦福的比尔 ·杜瓦传递信息，他想发 送一个包含五个字母的单词Login（登录），但是在他输入“Lo”后，系统死机了， 仪表显示传输系统突然崩溃，通信无法继续进行，因此，世界上第一次互联网络 的通信试验仅仅传送了两个字母：Lo。

2. 中国互联网的发展

中国用了近7年的时间真正接入互联网。这7年中的标志性事件包括：

1988年，中国科学院高能物理研究所采用X.25协议，使本单位的DECnet成为 西欧中心DECnet的延伸，实现了计算机国际远程联网以及与欧洲和北美地区的电 子邮件通信。

1989年11月，中关村地区教育与科研示范网络（简称NCFC）正式启动，由 中国科学院主持，联合北京大学、清华大学共同实施。

1990年11月28日，中国注册了国际顶级域名CN ，在国际互联网上有了自己的 唯一标识。最初，该域名服务器架设在德国的卡尔斯鲁厄大学计算机中心，直到 1994年才移交给中国互联网信息中心。

1992年12月，清华大学校园网（TUNET）建成并投入使用，这是我国第一个 采用TCP/IP体系结构的校园网。

1993年3月2日，中国科学院高能物理研究所接入美国斯坦福线性加速器中心 （SLAC）的64K专线，正式开通中国接入Internet的第一条专线。

 

 

 

 

1994年4月20日，中国实现与互联网的全功能连接，成为接入国际互联网的 第77个国家。

3.扩展资料

另一个推动Internet发展的广域网是NSF网，它最初是由美国国家科学基金会 资助建设的， 目的是连接全美的5个超级计算机中心，供100多所美国大学共享它 们的资源。NSF网也采用TCP/IP协议，且与Internet相连。

“ 阿帕” 网和NSF网最初都是为科研服务的，主要目的是为用户提供共享大型 主机的宝贵资源。随着接入主机数量的增加，越来越多的人把Internet作为通信和 交流的工具。一些公司还陆续在Internet上开展了商业活动。随着Internet的商业  化，其在通信、信息检索、客户服务等方面的巨大潜力被挖掘出来，使Internet有 了质的飞跃，并最终走向全球。

 

 

 

 

 

1.2    信息安全行业的现状

 

在信息安全领域，早期大多数客户购买安全服务的动机是应对当前的安全事 件或者减轻来自内外的舆论压力，导致服务内容和现实需求之间存在较大差异。

目前，对于信息安全服务比较重视的是政府、电信、银行、军队等领域。 自 2017年6月1日实施《中华人民共和国网络安全法》以来，证券、交通、教育、制 造业等行业对信息安全服务的需求也日趋加强，为信息安全市场注入了新的活

力。随着信息安全立法的完善和信息安全意识的强化，人们对信息安全产品的需 求也逐渐提升，这为我国的信息安全产业持续发展奠定了巨大的市场基础。最近 几年，我国信息安全产业快速发展，市场规模持续增长。2016年，我国信息安全 产业规模为340亿元，较2015年增长22% ，远高于8.2%的全球平均增长水平，总体 保持快速增长趋势。网络安全企业创新活跃，态势感知、监测预警、云安全服务 等新技术、新服务不断涌现，以产品为主导的产业格局正向“产品和服务并重” 的  方向转变，网络安全企业的实力有了较大提高，超过30家企业年度营收过亿，出 现了一批具有产业整合能力的龙头企业。2016年，成都、武汉、上海等地都在加 大网络安全产业布局，积极打造国家网络安全产业高地，网络安全产业集群效应 初步显现。

智研咨询发布的研究报告中指出，信息安全行业已达几百亿规模，并随着政 府的支持而持续增长。业内还普遍预测，随着网络安全法等一批重要政策的出

台，网络安全产业将在“十三五”期间迎来黄金发展期，市场规模将达千亿元级

别，发展速度远远超过其他传统工业。现阶段信息安全服务可以分为：安全咨

询、等级评测、风险评估、安全审计、运维管理、安全培训等方向，而渗透测试 在整个安全服务中又占据了较大的比重。

渗透测试基本上可以分为白盒测试和黑盒测试。黑盒测试是指在对客户组织 的产品一无所知的情况下模拟真实的入侵手段，对用户所需测试的产品进行渗透 测试。白盒测试是指在拥有客户组织所有的资产信息的情况下进行渗透测试。

黑盒测试的渗透测试团队将会从一个远程网络或外部网络对目标的基本网络 设备进行访问，在此之前，渗透测试团队对于目标的网络拓扑及其架构一无所

知。渗透测试团队将会完全模拟真实的外部入侵者，探索并发现目标网络中的已 知或未知的安全性漏洞，并对发现的漏洞进行利用，评估漏洞对业务和网络权限 造成的危害及损失。

黑盒测试还可以对目标内部的安全团队的检测和应急响应能力做出评估。当 渗透测试完成后，黑盒测试团队会对发现的系统安全漏洞、安全风险以及利用漏 洞对业务可能造成的影响范围等方面进行总结并编写完整的渗透测试报告。

黑盒测试相对白盒测试更加费时费力，并且要求渗透测试人员所具备的技术

 

 

 

 

能力更加突出。在安全行业中，相较白盒测试，黑盒测试是更受推崇的，因为黑 盒测试更真实地模拟了一次入侵过程，发现系统存在的漏洞，为系统安全防御指 明目标。

白盒测试的渗透测试团队更加了解目标环境的所有内部与底层架构及代码。 因此相比黑盒测试，白盒测试能以更小的代价发现和验证系统中最严重的安全漏 洞。如果实施得当，白盒测试会比黑盒测试发现更多的安全漏洞和弱点，从而为 客户带来更大的价值。

白盒测试与黑盒测试实施的流程类似，区别在于白盒测试无须对目标资产进 行定位和信息搜集。除此之外，白盒测试能够方便地穿插在常规开发和部署计划 周期内，能较早地发现并消除一些可能存在的安全隐患，从而避免被入侵者发现 漏洞和利用。

白盒测试中发现和解决安全缺陷的时间较黑盒测试要减少很多，但是白盒测 试无法像黑盒测试那样评估客户内部安全团队的检测能力及应急响应能力，即无 法判断客户的安全防护能力以及对特定攻击的监测效率。

 

 

 

 

 

1.3    渗透测试的基本流程

 

渗透测试是出于保护系统的目的，对目标系统进行的一系列测试，模拟黑客 入侵的常见行为，从而寻找系统中存在的漏洞。渗透测试的基本流程主要分为8   个步骤：明确目标、信息搜集、漏洞探测、漏洞验证、信息分析、获取所需信

息、信息整理、报告形成，如图1-1所示。

本书将着重介绍明确目标、信息搜集、漏洞探测、漏洞验证、信息分析、信 息整理这6个方面，展示Python语言在渗透测试过程中的实际运用。在第4章中， 将会从外网被动信息搜集和主动信息搜集两个方面讲解信息搜集、信息分析。在 第5章中，将会从未授权访问漏洞、XXE漏洞、SQL注入漏洞以及SSRF漏洞等方 面讲解漏洞探测、漏洞验证。下面介绍渗透测试流程中每个步骤所使用的技巧及 方法。

 

图1-1    渗透测试的基本流程

1. 明确目标

在这个阶段，渗透测试团队需要与客户进行沟通，确定目标的范围、限度、

 

 

 

 

需求等，并根据这些内容制定全面、详细的渗透测试方案：

·确定范围：渗透测试目标的IP 、域名、内外网、子网、旁站等。

·确定限度：明确对渗透测试目标允许渗透到什么程度，允许测试的时间段， 是否允许进行上传、下载、提取等高危操作。

·确定需求：例如，探测Web应用服务漏洞（新上线应用）、业务逻辑漏洞 （针对业务面）、人员权限管理漏洞（针对人员、权限）等。

2.信息搜集

在这个阶段，渗透测试团队可以利用各种方法，获取更多关于目标网络的拓 扑、系统配置等信息。搜集信息的方式包括扫描、开放搜索等，利用搜索引擎获 得目标后台、未授权页面、敏感URL等。需要搜集以下类型的信息：

·基础信息：IP 、网段、域名、端口。

· 系统信息：操作系统及其版本。

·应用信息：各个端口应用服务，如Web应用、邮件应用等。

·版本信息：所有探测到信息的版本。

·服务信息：高危服务，如文件共享服务等。

· 人员信息：域名注册人员信息、管理员信息、用户信息等。

· 防护信息：防护设备的信息，如安全狗等。

3.漏洞探测

在这个阶段，渗透测试人员需要综合分析前期阶段所搜集到的信息，特别是 历史安全漏洞信息、服务信息等，找到可以实施渗透的点，利用搜集到的各种系 统、应用、服务等信息使用相应的漏洞测试。包括如下方法：

·使用漏洞扫描器，如AWVS 、IBM 、AppScan等。

· 结合漏洞寻找利用方法，验证Proof of Concept。

· 寻找系统补丁信息探测系统漏洞，检查是否没有及时打补丁。

·检查Webserver漏洞（配置问题）、Web应用漏洞（开发问题）。

·检查明文传输、cookie复用等问题。

 

 

 

 

4.漏洞验证

将漏洞探索过程中发现的有可能成功利用的全部漏洞验证一遍，结合实际情 况，搭建模拟环境进行实验，成功后再应用于目标。这个过程需要自动化验证， 即结合自动化扫描工具提供的结果手工验证，根据公开资源进行验证。可以尝试 猜登录口的账号、密码等信息的方式。如果发现业务漏洞，则进行验证。在公开 资源中寻找系统漏洞，如乌云镜像站、Google Hacking 、渗透代码网站、通用应  用漏洞、厂商漏洞警告等。

5.信息分析

对搜集到的信息进行分析，为下一步实施渗透测试做准备。准备探测到的漏 洞利用程序，精准打击目标。包括以下一些手段：

· 绕过安全防御机制、防火墙等设备。

· 定制渗透路径，寻找目标突破口。

· 绕过检测机制、流量监控、杀毒软件、恶意代码检测（免杀技术）等。

6.获得所需信息

根据前几步结果获取所需信息，包括以下一些手段：

· 获取内部信息，即基础设施信息（网络架构、拓扑、VPN等）。

·进入内网，进行权限维持（ 一般客户做渗透测试不需要进行此步骤）。

· 痕迹清理，清除相关访问操作日志及文件。

7.信息整理

把以上操作的内容总结出来，需要整理如下信息，为最后形成报告和测试结 果做好准备：

·所用的渗透工具，包括渗透测试过程中用到的代码、POC 、EXP等。

·搜集的信息，包括渗透测试过程中搜集到的一切信息。

·漏洞的信息，包括渗透测试过程中遇到的漏洞、脆弱的位置信息等。

8.形成报告

按照与客户确定好的范围、需求整理渗透测试结果并将资料形成报告。对漏 洞成因、验证过程及其危害进行严谨分析，并补充针对漏洞问题的高效修复建议

 

 

 

 

及解决办法。

 

 

 

 

 

1.4    渗透测试的具体方法

 

为了让读者直观地理解上述内容，下面来看一个渗透测试案例。

1. 明确目标

明确目标是整个渗透测试实施的基础，通过与客户沟通后确定渗透测试的目 的以及范围，有时客户会提供完整、明确的目标范围，但多数情况下客户所提供 的渗透测试范围并不完善，仅仅是给了一个主站域名，本案例就是这样。

2.信息搜集

信息搜集得完善与否将会严重影响后续渗透测试的速度与深度。要搜集的信 息主要包括目标的IP地址、网段、域名和端口。

当拿到渗透测试目标的域名后，首先，我们需要判断域名是否存在

CDN（Content Delivery Network ，内容分发网络），主要解决因传输距离和不同 运营商节点造成网络速度性能低下的问题。说得简单点，就是设置一组在不同运 营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源（例 如静态的html 、css 、js 图片等文件）直接缓存到节点服务器上，当用户再次请求 时，会直接分发到离用户近的节点服务器上响应给用户，当用户需要数据时，才 会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。

案例公司的网站主服务器部署在A地，当有一个用户在B地进行访问的时候， 由于B地与A地的地理位置差距较大，便会造成网站可用性降低。此时，若是使用 了CDN的服务，CDN的中心服务器便会将在A地的网络主站服务器的内容，通过  中心平台下发到距离B地较近的CDN服务器中，当B地的用户需要访问此网站服务 时，通过域名去访问将会访问到CDN的服务，而CDN将会把相应服务器中网站的 内容发送给B地的用户，这样挑选离用户更加靠近的服务器进行内容分发，将会  大大地提高网站的可用性。

现阶段，大型网站多数都使用了CDN服务。判断目标网站是否使用了CDN服 务将会减少不必要的资源浪费。因为当目标是公司的真正网站时，如果没有分辨 出真实网站与CDN ，将会造成后续的渗透测试全部实施到了CDN服务器，而没有 真的渗透到客户的网站。而判断目标网站是否使用了CDN ，可以使用在线的网站 多个地点Ping服务器,网站测速 - 站长工具实现，通过该网站对域名进行监测，因为CDN的主要目的是 将内容分发到网络，所以如果目标网站使用了CDN ，那么在不同的地理位置去

ping网站域名所得到的IP地址必然是不一样的，如图1-2所示。

 

 

 

 

图1-2    CDN监测

如果查询出来的IP地址数量大于一个时，说明这些IP地址并不是真实的服务 器地址。当查询出来的是2～3个IP地址，同时这2～3个IP地址属于同一个地址的 不同运营商时，很可能这2～3个IP地址都是服务器的出口地址，而该服务器部署 在内网中，使用了不同运营商的映射进行互联网访问。如果IP地址有多个，并且 分布在不同的地区时，基本可以确定网站就是使用了CDN的服务。

如何绕过CDN来获取网站的真实IP信息呢？大致有如下几个步骤：

1）通过内部邮箱来获取网站真实IP 。大多数情况下，邮件服务系统都是部署 在公司内部的，并且没有经过CDN的解析，可以通过目标网站的邮箱注册或者订 阅邮件等功能，让网站的邮箱服务器给自己的邮箱服务器发送邮件。查看邮件的 原始邮件头，其中会包含邮件服务器的IP地址，如图1-3所示。

 

 

 

 

图1-3    邮件头

2）查看域名的历史解析记录。当目标网站的域名使用时间较长时，可能在  目标网站刚刚使用的时候并没有绑定CDN的服务，CDN的服务是后来加上的。那 么在DNS服务器的历史解析记录中就可能存在目标网站服务器未使用CDN时的真 实IP地址，可以通过EXAMPLE网站（https://dnsdb.io/zh-cn）进行查询，如图1-4   所示。

3）子域名地址查询。CDN的服务收费并不算便宜，所以有许多站长出于省  钱的目的，只会为网站的主站和部分流量较大的子站购买CDN的服务，而目标网 站服务器可能有许多细小子站或者旁站与目标网站服务器部署在同一台机器或者  C段网段上，这时只需要知道子站或者旁站的IP地址，就可以猜解出网站的真实IP 地址。

4）国外地址访问。国内的CDN服务主要是针对国内的用户访问进行服务，

对于国外的访问，则没有多少国内CDN服务商会进行服务。由此，我们通过使用 国外的服务器或地址访问目标网站服务，便可得到真实的目标IP地址。也可以使 用以下的国外在线代理网站（见公众号链接1-1）进行检测，如图1-5所示。

 

 

 

 

图1-4    DNS解析记录

 

 

 

 

图1-5    外国地址访问

5）主域名查询。以前，CDN使用者习惯只对WWW域名使用CDN ，优点是  这样使用CDN的服务，在维护网站时会更加方便，不需要等待CDN的缓存。所以 也可以试一试将目标网站服务器的WWW去掉，直接ping网站，查看IP是否有变  化。

6）Nslookup查询。通过查询域名的NS 、MX 、TXT记录，有可能找到真实的 目标网站IP地址。NS记录是指域名服务器的记录，用来指定域名由哪台服务器进 行解析，使用命令nslookup-qt=ns xxx.com 。MX记录mail服务的权重值，当mail服 务器先对域名进行解析时，会查找MX记录，找到权重值较小的服务器进行连

通，使用命令nslookup-qt=mx xxx.com 。TXT记录一般是为某一条记录设置说明， 使用命令nslookup-qt=txt xxx.com。

搜集完网站的真实IP后，还需要对网站域名的whois信息进行搜集。whois是  用来记录域名注册的所有者信息的传输协议。换句话说，whois就是用来记录所查 询的域名是否已经被注册了，记录了注册域名的详细信息，如域名所有人、域名

 

 

 

注册商等。whois 的查询方法可以通过命令行接口进行查询。现在出现了一些网页 接口简化的线上查询工具页面（网址为域名Whois查询 - 站长之家），能够一次向不  同的数据库进行查询，如图1-6所示。

图1-6    whois查询

当我们确定了目标客户公司的具体信息时，可以去网络上查询与该公司有关 的信息，如公司的邮箱、邮箱格式、公司员工姓名、公司人员配置等任何与之相 关的信息。同时，也可以到GitHub 、码云等互联网代码托管平台查找与之相关的 敏感信息。人是一个组织中最薄弱的环节，会有一些粗心的程序员或其他员工将 公司的代码上传后，没有做脱敏处理，导致已上传的代码可能包含数据库连接信 息、密码，甚至网站源代码等信息。

如果目标网站系统并非自主研发的，就很有可能是使用了一些CMS建站系

统，如phpcms 、eshop 、wordpress 、dedecms 、disuz 、phpweb 、dvbbs 、thinkphp等 构建的。对网站进行指纹识别，将会识别出网站所使用的CMS信息。利用搜集到 的CMS信息可以去查找相关的历史漏洞。进行指纹识别可使用下面的网站（网址

 

 

 

为yunsee.cn-2.0），如图1-7所示。

图1-7    指纹识别

3.漏洞探测

在搜集完需要的信息之后就可以进行下一步操作：漏洞探测。漏洞探测的目 的是找出可能存在的漏洞，然后进行分析验证。一般是通过自动扫描工具结合人 工操作以及之前所搜集的信息去挖掘漏洞。现今使用得比较广泛的漏洞扫描工具 有AWVS（Acunetix Web Vulnerability Scanne）、NESSUS 、AppScan等。

·AWVS是一款较知名的漏洞扫描工具，通过网络爬虫来测试网站的安全性， 监测安全漏洞，使用也较为简单。

·NESSUS是一款全球使用人数非常多的系统漏洞扫描和分析软件，提供了完 整的主机漏洞扫描服务，且随时更新漏洞数据库，具有家用版本和商用版本。

·AppScan安装在Windows系统上，可以对网站等Web应用进行自动化漏洞扫 描和安全测试。