Nmap NSE脚本在Web安全测试中的实战应用与防御策略

发布时间:2026/7/7 10:19:08
Nmap NSE脚本在Web安全测试中的实战应用与防御策略 1. 项目概述当Nmap遇上Web安全很多人一听到“Nmap脚本”和“击破Web应用防线”脑海里可能立刻浮现出电影里黑客敲击键盘、屏幕滚过绿色代码的炫酷场景。但现实往往更接地气也更值得深思。我干了十多年网络安全从渗透测试到应急响应都摸过可以很负责任地说Nmap的脚本引擎NSE确实是安全从业者武器库中一把极其锋利且多功能的“瑞士军刀”。它绝不仅仅是个端口扫描器其真正的威力在于通过Lua脚本实现的、高度可定制的自动化探测与漏洞检测能力。对于一个配置不当或存在已知漏洞的Web应用一个精心编写或巧妙利用的Nmap脚本确实可能成为发现乃至利用其弱点的第一块敲门砖。这个标题之所以吸引人是因为它戳中了两个痛点一是Web应用无处不在却漏洞频出二是大众对“黑客技术”既好奇又畏惧觉得门槛高不可攀。实际上现代的安全测试尤其是针对Web应用的初级信息收集与漏洞扫描其入门门槛正在通过工具自动化而不断降低。Nmap NSE正是这种自动化的典型代表。它允许你即使是一个新手也能在无需深入理解底层网络协议和漏洞原理细节的情况下执行一系列标准化的安全检查。这就像你不需要成为汽车工程师也能用诊断仪读取车辆的故障码一样。那么这个“零基础入门到精通实战教程”的核心价值是什么我认为它绝不是教你如何成为“黑客”去攻击他人而是提供一个绝佳的视角让你以“攻击者”的思维去理解Web应用可能存在的薄弱环节。通过学习和使用Nmap脚本你可以清晰地看到一个外部观察者能获取到你应用的哪些信息开放的端口、运行的服务器软件和版本、支持的HTTP方法、潜在的敏感目录、甚至是某些特定版本软件存在的公开漏洞。这对于开发者、运维人员乃至刚入行的安全工程师来说是一次宝贵的“照镜子”机会。你能用它来做什么最直接的就是对自己的网站或应用进行最基本的安全自查了解暴露在公网的服务究竟“透露”了多少信息。适合谁来学习任何对网络安全感兴趣、希望了解Web应用常见攻击面、或需要从事基础安全评估工作的朋友都可以从这里起步。接下来我会把这把“瑞士军刀”的每个功能组件拆开告诉你它怎么用为什么这么用以及用了之后可能会遇到什么坑。2. Nmap与NSE脚本引擎深度解析2.1 Nmap的核心远不止于端口扫描提到Nmap绝大多数人的第一反应是“端口扫描工具”。这个认知没错但只对了一半。端口扫描是Nmap的基石功能它通过发送特定的网络包并分析响应来探测目标主机上哪些网络端口是开放的、关闭的或被过滤的。常用的扫描技术如TCP SYN扫描-sS、TCP连接扫描-sT等都是信息收集阶段的关键步骤。然而Nmap的强大在于其将扫描结果与一个庞大的脚本库和版本检测数据库相结合的能力。Nmap脚本引擎NSE是Nmap真正的灵魂。它允许用户编写Lua脚本在扫描过程中或扫描之后自动执行复杂的任务。这些脚本可以做的事情远超你的想象从获取HTTP服务的标题和服务器头信息到枚举Web应用的目录和文件从检测特定服务如Redis、Memcached是否存在未授权访问漏洞到对Web应用进行基础的SQL注入或XSS漏洞探测。NSE脚本库是社区驱动的包含了数百个脚本分为多个类别如auth身份认证、default默认扫描、vuln漏洞检测、exploit漏洞利用等。当你使用-sC参数进行默认脚本扫描或使用--script参数指定特定脚本时就是在调用NSE的能力。为什么NSE对于Web安全如此重要因为Web应用的安全不是一个点而是一个面。它涉及操作系统、网络服务、中间件、Web框架、应用程序代码等多个层面。传统的手工测试效率低下而大型自动化漏洞扫描器又可能过于笨重或昂贵。Nmap NSE恰好提供了一个折中的方案它足够轻量、灵活可以快速对目标进行一轮“体检”发现那些显而易见的、常见的“低垂果实”。例如一个http-headers脚本可以告诉你服务器是否泄露了过于详细的版本信息一个http-methods脚本可以探测服务器是否允许危险的PUT、DELETE等方法而http-sql-injection脚本则会对常见的SQL注入参数进行初步的探测。理解Nmap和NSE的这种定位是有效使用它的前提。2.2 NSE脚本的分类与选用策略面对Nmap内置的庞大脚本库新手很容易感到无所适从。盲目地运行所有脚本--script all不仅效率低下、耗时漫长而且会产生海量的输出其中大部分可能是无关紧要的信息甚至可能因为过于激进的探测导致目标服务不稳定或被安全设备拦截。因此根据测试阶段和目标类型选择合适的脚本类别至关重要。对于Web应用安全测试我们主要关注以下几类脚本discovery发现类用于发现网络上的主机和服务。在Web测试中可能用targets-sniffer等脚本发现同一网段的其他设备但并非核心。safe安全类这些脚本被认为不会对目标服务造成负面影响不会进行入侵性检测。例如http-robots.txt检查robots.txt文件、http-title获取网页标题等。在初步信息收集中应优先使用。version版本检测与-sV参数协同工作更精确地识别服务版本。对于Web服务器Apache, Nginx, IIS、中间件Tomcat, JBoss等准确的版本信息是后续漏洞搜索的基础。vuln漏洞检测类这是核心类别包含了许多检测已知漏洞的脚本。例如http-vuln-cve2017-5638检测Apache Struts2 S2-045漏洞、http-vuln-cve2017-1000117检测WordPress插件漏洞等。使用这类脚本需要格外小心并确保你有权限对目标进行测试。exploit漏洞利用类包含了一些概念验证性的攻击代码。除非在高度可控的实验室环境如靶场否则绝对不建议对未经授权的目标使用此类脚本。http-*系列这是一个庞大的子集专门针对HTTP/HTTPS服务。包括枚举http-enum、方法检测http-methods、头信息分析http-headers、基础漏洞扫描http-sqli-discovery,http-xssed等。这是Web应用测试的“主力军”。我的选用策略通常是“由浅入深由广至专”。首先使用-sV -sC进行默认的版本和默认安全脚本扫描快速勾勒目标轮廓。然后根据初步结果比如发现是WordPress站点有针对性地使用更具体的脚本例如--script http-wordpress-enum来枚举用户和插件。永远记住针对性越强效率越高噪音越少。在接下来的实操部分我会演示如何将这一策略付诸实践。3. 从零搭建实战环境与基础扫描3.1 实验室环境搭建安全第一责任先行在真正挥舞“武器”之前我们必须先建立一个安全的“靶场”。这是所有安全学习、研究和测试的黄金法则只在你有完全控制权的环境中进行测试。未经授权扫描或测试任何不属于你的系统不仅是非法的也是不道德的。对于个人学习我们有多种选择。最推荐的方式是使用虚拟机在本地搭建一个隔离的测试环境。你可以使用VirtualBox或VMware安装一个Linux发行版如Kali Linux作为攻击机Kali预装了Nmap等绝大多数安全工具。同时再安装一个或多个虚拟机作为靶机。靶机的选择非常丰富OWASP Broken Web Applications (BWA)一个包含了大量故意设计成有漏洞的Web应用的虚拟机是学习Web安全的经典靶场。DVWA (Damn Vulnerable Web Application)一个专注于Web漏洞的PHP/MySQL应用配置简单漏洞典型。Metasploitable2/3另一个著名的漏洞靶机包含了操作系统、网络服务、Web应用等多层次的漏洞。以DVWA为例搭建过程通常包括下载虚拟机镜像或源码导入虚拟机软件配置网络通常使用NAT或Host-Only网络确保与主机隔离启动后按照指引完成简单配置即可。将攻击机Kali和靶机DVWA置于同一虚拟网络内它们就可以相互通信了。在Kali中使用ifconfig或ip addr命令查看自己的IP地址并使用ping命令测试能否通靶机的IP。这个本地环境完全受你控制你可以尽情测试而无需担心法律风险。注意即使是在本地环境也建议将虚拟机的网络模式设置为“Host-Only”或“NAT模式”且不进行端口转发确保它们不会意外暴露在你的家庭或公司网络中。永远不要将含有漏洞的靶机直接部署在公网云服务器上除非你完全清楚后果并做好了严格的安全隔离。3.2 第一轮扫描信息收集的艺术假设我们的靶机IP是192.168.1.100攻击机KaliIP是192.168.1.101。让我们开始第一次“接触”。首先进行最基础的存活主机和端口扫描。我们想知道靶机是否在线以及开放了哪些端口。nmap -sn 192.168.1.100-sn参数代表“Ping扫描”它只检查主机是否在线不扫描端口。这是最温和的扫描方式。如果收到回复说明主机存活。接下来进行全面的端口扫描。我们不希望错过任何服务所以使用-p-来扫描所有65535个端口同时使用-sV尝试识别服务版本。nmap -sV -p- 192.168.1.100这个命令可能会运行较长时间。-sV会尝试与开放的端口建立连接并通过特征匹配来猜测运行的服务及其版本号例如Apache httpd 2.4.41、OpenSSH 8.2p1等。版本信息是后续漏洞关联的关键。假设扫描结果显示靶机在80端口开放了HTTP服务。现在我们可以针对Web服务进行更细致的探测。使用NSE的默认脚本扫描是一个很好的开始nmap -sV -sC -p 80 192.168.1.100-sC参数等价于--scriptdefault它会运行一系列被标记为default类别的安全脚本。针对80端口这些脚本可能包括http-title获取网站的标题如“Damn Vulnerable Web Application (DVWA) - Login”。http-headers获取HTTP响应头里面可能包含服务器类型Server: Apache/2.4.41、PHP版本X-Powered-By: PHP/7.4.3等关键信息。http-robots.txt尝试获取并分析/robots.txt文件里面可能列出了网站不希望被爬虫访问的目录有时这些目录恰好是管理后台或敏感路径。http-methods探测该Web服务器支持的HTTP方法GET, POST, HEAD, OPTIONS, PUT, DELETE等。如果支持PUT或DELETE且配置不当可能允许攻击者上传或删除文件。这一轮扫描下来即使不使用任何复杂的漏洞检测脚本我们已经获得了关于目标Web应用的宝贵情报它是什么DVWA、用什么技术栈ApachePHP、有哪些可能的入口点从标题和robots.txt推断。这就是信息收集阶段的价值——它为你后续的深入测试指明了方向。在真实的渗透测试中这些信息会被详细记录在案作为测试报告的一部分。4. 针对性深度探测NSE脚本实战应用4.1 枚举与发现摸清应用的家底在获得了Web应用的基础信息后下一步就是深入其内部结构。枚举Enumeration是黑客技术的核心思想之一其目的是系统地收集关于目标系统、用户、数据或功能的信息。对于Web应用目录和文件枚举是发现隐藏内容、管理后台、备份文件、配置文件等敏感资源的主要手段。Nmap提供了强大的http-enum脚本来做这件事。它内置了一个包含数千个常见路径的字典通过向目标发送大量HTTP请求并分析响应状态码如200成功、403禁止、404未找到来猜测存在的路径。使用方式如下nmap -p 80 --script http-enum 192.168.1.100这个脚本运行后会输出它尝试的路径以及服务器的响应。你可能会发现像/admin/、/phpmyadmin/、/backup/、/config.ini这样的路径。http-enum脚本的优势在于其字典的全面性和与Nmap集成的便利性。但它也有缺点速度相对较慢因为要逐个请求并且可能触发目标的入侵检测系统IDS告警因为其行为模式与目录暴力破解工具类似。为了提高效率和隐蔽性我通常会在http-enum的基础上结合其他工具或技巧。例如可以先使用http-enum进行快速扫描如果发现目标使用的是特定CMS如WordPress则转而使用更专业的枚举脚本如http-wordpress-enum它能更精准地枚举用户、主题和插件。nmap -p 80 --script http-wordpress-enum 192.168.1.100此外http-enum脚本允许你使用自定义的字典文件这在面对特定行业或框架的应用时非常有用。你可以将平时积累的路径列表保存为文本文件然后通过--script-args参数指定nmap -p 80 --script http-enum --script-args http-enum.fingerprintfile/path/to/my_custom_list.txt 192.168.1.100实操心得目录枚举是“体力活”但也是发现“惊喜”的常见途径。我曾在一次授权的测试中通过http-enum脚本发现了一个遗留的/phpinfo.php文件该文件泄露了大量的服务器配置信息包括绝对路径、加载的模块、环境变量等这些信息为后续的攻击提供了极大的便利。因此永远不要低估基础枚举的价值。4.2 漏洞检测自动化发现已知弱点当我们通过版本检测-sV知道了目标运行的是Apache 2.4.41和PHP 7.4.3或者通过其他手段知道了目标使用的是ThinkPHP 5.0框架后下一步自然就是去检查这些特定软件是否存在已知的公开漏洞。这就是NSEvuln类别脚本的用武之地。Nmap社区维护着许多针对特定CVE公共漏洞暴露编号的检测脚本。例如著名的Apache Struts2远程代码执行漏洞S2-045, CVE-2017-5638就有对应的检测脚本http-vuln-cve2017-5638。使用方式非常简单nmap -p 80 --script http-vuln-cve2017-5638 192.168.1.100如果目标存在此漏洞脚本会明确报告“VULNERABLE”。这类脚本的原理通常是发送一个精心构造的、能触发漏洞特征但通常无害的请求包PoC概念验证然后根据服务器的响应来判断漏洞是否存在。它们一般不会执行真正的攻击载荷Exploit因此相对安全但依然可能对不稳定服务造成影响。除了针对特定CVE的脚本还有一些更通用的漏洞检测脚本。例如http-sql-injection脚本会尝试对URL参数进行一些基本的SQL注入测试。http-xssed脚本会检查目标URL是否被记录在XSSed.com一个跨站脚本漏洞归档网站的数据库中。这些脚本可以作为初步的漏洞筛查工具。重要警告使用vuln或exploit类脚本必须慎之又慎。即使在授权测试中也应事先与客户沟通测试范围避免对生产环境的核心业务造成服务中断。在实验室环境中则可以大胆测试观察漏洞被触发时系统的反应这对于理解漏洞原理至关重要。4.3 配置与安全策略审计一个Web应用是否安全不仅取决于代码有无漏洞还取决于其配置是否得当。Nmap的许多http-*脚本可以用来审计这些安全配置。HTTP方法审计使用http-methods脚本。如果发现服务器支持PUT、DELETE、TRACE等方法而应用本身并不需要那么这些方法就应该被禁用。TRACE方法可能被用于发起跨站追踪XST攻击。PUT方法如果结合某些配置漏洞可能导致任意文件上传。nmap -p 80 --script http-methods 192.168.1.100HTTP安全头检查使用http-headers脚本并仔细查看输出。你需要关注几个关键的安全头部X-Frame-Options是否设置为DENY或SAMEORIGIN以防止点击劫持。X-Content-Type-Options是否设置为nosniff防止浏览器MIME类型嗅探攻击。Strict-Transport-Security (HSTS)是否设置强制使用HTTPS。Content-Security-Policy (CSP)是否配置了有效的策略来缓解XSS等攻击。 如果这些头部缺失或配置不当即使应用代码没有漏洞也会降低整体的安全等级。信息泄露检查同样是http-headers脚本关注Server、X-Powered-By等头部是否泄露了过于详细的版本信息。攻击者可以利用这些信息寻找对应的漏洞。此外http-robots.txt脚本发现的敏感目录也是一种信息泄露。通过这一系列的配置审计你可以快速评估一个Web应用的“安全基线”水平。很多时候修复这些配置问题比修复代码漏洞要简单快速得多但带来的安全提升却是显著的。在我的经验里很多中小型企业的网站首要的安全问题往往就是这些错误的或缺失的安全配置Nmap脚本能帮你一眼就看出来。5. 高级技巧与自定义脚本开发5.1 脚本参数调优与组合使用Nmap脚本的强大之处在于其灵活性许多脚本都提供了参数Arguments供用户调整其行为。掌握这些参数的使用能让你的扫描更高效、更隐蔽、更有针对性。最常见的参数是控制脚本的“攻击性”或深度。例如http-enum脚本可以使用http-enum.displayall参数来显示所有尝试的路径包括返回404的而不仅仅是可能存在的路径。但这会产生大量输出通常我们只关心成功的。更实用的参数是自定义字典路径如前所述。另一个重要的方面是性能调优。扫描大量目标或使用大量脚本时网络超时和并行连接数设置就很重要。这不是脚本参数而是Nmap本身的参数但它们直接影响脚本执行。--max-retries num指定端口扫描探测包的最大重传次数。--min-rate number设置每秒最少发送的包数。--max-rate number设置每秒最多发送的包数避免对网络造成过大压力。--script-timeout time设置每个脚本运行的最长时间防止某个脚本卡住整个扫描。--min-parallelism num设置探针并行扫描的最小数量。对于Web扫描一个非常实用的技巧是组合使用多个http-*脚本并设置一个共同的script-args。例如你想在一次扫描中同时进行目录枚举、方法检测和头信息分析可以这样写nmap -p 80 --script http-enum,http-methods,http-headers --script-args http-enum.categoryweb,http-methods.retest1 192.168.1.100这里http-enum.categoryweb告诉http-enum脚本只使用与Web相关的字典http-methods.retest1可能指示http-methods脚本进行更彻底的测试。通过查阅Nmap官方文档nmap --script-help script-name可以了解每个脚本支持的所有参数。避坑技巧在实战中尤其是对生产环境进行授权测试时切忌一上来就使用激进的参数组合。我的建议是遵循“最小影响原则”先使用默认的、安全的脚本进行扫描根据结果逐步增加扫描的深度和广度。同时务必在扫描计划中预留时间窗口并告知相关方以防扫描行为触发安全告警或影响性能。5.2 编写自定义NSE脚本释放无限潜力当内置脚本无法满足你的特定需求时编写自定义NSE脚本就成了终极解决方案。NSE脚本使用Lua语言编写学习曲线相对平缓。一个最简单的NSE脚本框架如下-- description: 这是一个自定义脚本示例 -- author: Your Name -- license: Same as Nmap--See https://nmap.org/book/man-legal.html local http require http local stdnse require stdnse local shortport require shortport -- 规则部分定义脚本在什么条件下运行 portrule shortport.http -- 动作部分脚本的主要逻辑 action function(host, port) -- 构造一个HTTP GET请求 local response http.get(host, port, /) -- 检查响应是否有效 if response.status 200 then -- 从响应中提取感兴趣的信息例如检查是否存在特定字符串 if response.body:find(Powered by MyCustomCMS) then -- 返回结果 return stdnse.format_output(true, 发现目标使用 MyCustomCMS) end end -- 如果没有发现可以返回nil或不返回Nmap不会显示输出 end将这个脚本保存为my-custom-cms.nse然后将其放入Nmap的脚本目录通常是/usr/share/nmap/scripts/或者使用--script参数指定其路径即可运行nmap -p 80 --script ./my-custom-cms.nse 192.168.1.100编写自定义脚本的常见场景包括检测自研应用或特定设备你公司内部开发了一套CMS或物联网设备你可以编写脚本快速检测网络中是否存在该设备及其版本。自动化复杂测试流程将一系列手动测试步骤如访问特定API接口、解析JSON响应、根据结果进行下一步请求组合成一个脚本。漏洞验证当一个新的漏洞CVE披露但Nmap官方脚本库还未更新时你可以根据公开的PoC快速编写一个验证脚本供内部使用。开发心得编写NSE脚本的关键在于理解Nmap提供的库。http库用于发送HTTP请求stdnse库提供了输出格式化等实用函数shortport库帮助你定义端口规则。多阅读Nmap内置脚本的源码位于/usr/share/nmap/scripts/是最好的学习方式。从一个简单的脚本开始比如检测某个特定的HTTP响应头逐步增加复杂性。记住好的脚本不仅要能工作还应该有清晰的描述、作者信息、输出格式并且要考虑到错误处理避免因为单个请求失败导致整个脚本崩溃。6. 防御视角如何让你的Web应用对Nmap扫描“隐身”通过前面的学习我们已经站在攻击者的角度了解了Nmap脚本如何发现Web应用的弱点。现在让我们换位思考从防御者和开发者的角度出发探讨如何加固你的Web应用使其在面对此类自动化扫描时更具韧性。这并非真正的“隐身”完全隐藏服务在互联网上通常不现实而是减少信息泄露、增加攻击者探测难度和成本。6.1 最小化信息泄露收紧你的“名片”Nmap扫描获取的很多信息都来自于应用和服务器主动或被动泄露的“名片”。收紧这些信息是首要步骤。修改或隐藏服务器标识Web服务器Apache/Nginx/IIS在配置文件中修改或移除Server响应头。例如在Nginx中可以在http或server块内添加server_tokens off;。在Apache中修改httpd.conf中的ServerTokens和ServerSignature指令。你可以将其改为一个无意义的字符串但更好的做法是彻底移除或只显示“Web Server”。应用框架PHP/ASP.NET禁用X-Powered-By头。在PHP中可以在php.ini中设置expose_php Off。在ASP.NET中可以在web.config中移除相关模块。自定义错误页面使用统一的、友好的自定义错误页面如404、500避免在错误信息中泄露服务器路径、堆栈跟踪、数据库错误等细节。清理元数据与注释确保发布到生产环境的代码中没有包含内部IP、邮箱、账号密码等敏感信息的注释、配置文件或README文件。前端代码HTML, JavaScript中的注释也可能泄露内部架构信息。谨慎处理robots.txtrobots.txt的本意是指导搜索引擎爬虫但它也成了攻击者的“藏宝图”。不要在其中列出真正的管理后台、API目录或敏感数据路径。可以考虑对关键管理接口实施IP白名单访问控制而不是依赖robots.txt隐藏。6.2 强化配置与访问控制禁用不必要的HTTP方法在Web服务器配置中明确只允许业务需要的HTTP方法通常是GET, POST, HEAD。对于Apache可以使用mod_rewrite或Limit指令对于Nginx可以使用limit_except指令。确保OPTIONS,TRACE,PUT,DELETE,CONNECT,PATCH等方法被禁用或返回405 Method Not Allowed。实施严格的安全头部策略如前所述确保以下安全头部被正确设置Content-Security-Policy (CSP)有效缓解XSS和数据注入攻击。X-Frame-Options防止点击劫持。X-Content-Type-Options: nosniff防止MIME类型混淆攻击。Strict-Transport-Security (HSTS)强制使用HTTPS。Referrer-Policy控制Referrer信息的发送。Permissions-Policy原Feature-Policy控制浏览器功能的使用。 这些头部不仅能提升安全等级也能让Nmap的http-headers脚本扫描结果显示你的应用配置是严谨的。目录访问控制与默认文件确保Web根目录下没有列出目录内容禁用Indexes选项。删除或重命名默认的安装文件、示例文件、测试文件如phpinfo.php,test.php,admin/install.php。对上传目录设置“无执行”权限防止上传的脚本被直接执行。6.3 部署主动防御与监控措施Web应用防火墙WAF部署WAF是应对自动化扫描和攻击的有效手段。现代的WAF如ModSecurity, Cloudflare WAF, AWS WAF可以识别Nmap扫描、目录枚举、SQL注入探测等常见攻击模式并进行拦截或限速。WAF规则可以过滤掉带有常见漏洞扫描特征的HTTP请求。速率限制与IP黑名单在应用层面或网络层面如使用Nginx的limit_req模块对访问频率进行限制。如果一个IP地址在短时间内发送了大量请求特别是对不存在的路径的请求这是目录枚举的典型特征可以暂时将其加入黑名单或返回验证码挑战。这能显著增加攻击者信息收集的时间和成本。完善的日志与监控开启Web服务器和应用程序的详细访问日志和错误日志。定期分析日志寻找扫描特征例如对/admin,/phpmyadmin,/wp-login.php等常见路径的频繁访问。大量返回404状态码的请求。使用非常规User-Agent如Nmap Scripting Engine的请求。短时间内来自同一IP的请求激增。 通过监控这些异常模式你可以及时发现潜在的扫描或攻击行为并做出响应。防御总结安全是一个持续的过程没有一劳永逸的银弹。让Web应用对Nmap扫描“隐身”的本质是遵循安全开发生命周期SDLC、实施深度防御策略。从代码编写时避免信息泄露到服务器配置时收紧权限再到运行时部署WAF和监控每一层都在增加攻击者的难度。作为防御者你甚至可以定期使用Nmap扫描自己的公网应用以攻击者的视角审视自身查漏补缺这才是“知己知彼百战不殆”在现代网络安全中的真正体现。当你看到自己的网站在经过加固后Nmap脚本只能获取到最少量的、无害的信息时你会对它的安全性有更多的信心。