行业术语(扫盲)
- 整理一下,上课用,主要来源于互联网资料整理。
基础名词
黑帽
- 黑帽(Black Hat):黑帽是指那些未经授权、利用计算机系统漏洞和安全弱点,从事非法活动的攻击者或破坏者。他们的行为通常是为了获得非法利益、破坏系统、窃取数据或进行其他恶意活动。黑帽攻击者可能是个人或组织,他们的目的是违法和破坏性的。
白帽
- 白帽(White Hat):白帽是指那些以合法和道德方式从事信息安全工作的专业人员或安全研究人员。他们通过发现和修复系统漏洞、提供安全咨询和服务来帮助保护计算机系统和网络的安全。白帽通常与组织合作,被授权测试系统安全性,并通过合法途径揭示潜在的安全问题。
红帽
- 事实上最为人所接受的说法叫红客。
- 红帽黑客以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取为精神支柱,红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来的进攻进行还击。
VPS
- 虚拟专用服务器(Virtual Private Server,简称VPS)技术,是将一台服务器分割成多个虚拟专享服务器的优质服务。实现VPS的技术分为容器技术,和虚拟化技术。
- 在容器或虚拟机中,每个VPS都可选配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。
- VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。
- 简单理解来说,VPS就是通过虚拟化技术隔离出来的系统。
云服务器
- VPS 加强版,架构、存储上略有不同。
- 不过通常情况下,VPS 和云服务叫法相同。
专有名词
Exp/Poc/Payload
- EXP(Exploit):EXP是指利用系统或应用程序中的漏洞或弱点,以实现非授权访问、执行恶意代码或执行其他攻击行为的代码或技术。EXP通常是攻击者开发或获取的,用于利用已知漏洞的工具、脚本或代码。EXP可以利用系统或应用程序中的漏洞来提权、绕过访问控制、执行远程代码等。
- POC(Proof of Concept):POC是指用于证明或演示概念、漏洞或攻击的代码、工具或演示脚本。POC旨在验证特定漏洞的存在,并展示攻击者可以利用该漏洞进行的潜在攻击。POC通常由安全研究人员、白帽黑客或漏洞猎人开发,他们将其提供给厂商或社区,以促使漏洞修复或公开讨论。
- Payload:Payload是指在成功利用系统或应用程序漏洞后,攻击者要在目标系统上执行的恶意代码、指令或操作。Payload可以用于执行各种攻击行为,例如远程访问、数据窃取、文件删除、系统破坏等。攻击者可以根据自己的目标和需求定制Payload,以满足其攻击目的。
Shell
- Shell(也称为命令行 Shell 或系统 Shell)是指一种用于与操作系统进行交互的命令行界面。它提供了一种通过命令行输入和执行命令的方式来管理和控制计算机系统的功能。
木马
- 木马(Trojan Horse):木马是一种恶意软件,通常伪装成合法的程序或文件,但在用户执行时会执行恶意操作。木马程序可以在用户的计算机上进行各种活动,如数据窃取、远程控制、文件删除等,而用户并不知情。
网页木马(WebShell)
- 网页木马(Web Trojan):网页木马是一种通过恶意网页或网站传播的木马程序。当用户访问带有网页木马的网页时,木马会利用浏览器漏洞或欺骗技术将恶意代码注入用户的计算机,从而实现攻击者的目的。
大马/小马
- 大马/小马(大马/小马):大马和小马是指在攻击者控制下的远程访问工具。它们通常是通过漏洞或社会工程学手段安装在目标系统上的。大马和小马的区别在于功能和复杂程度,大马通常具有更多的功能和控制选项,而小马则相对简单。
挂马/上马
- 挂马/上马(Defacement):挂马是指攻击者通过入侵网站服务器,篡改网站内容或页面,通常以宣传、炫耀或破坏的方式。攻击者可以修改网站的主页、插入广告、发布恶意链接等。上马是指攻击者在受控的系统上安装恶意软件或文件,使其成为攻击者的控制节点。
后门
- 后门(Backdoor):后门是指通过特殊的方式在系统中创建的未经授权的访问通道。攻击者可以使用后门来绕过正常的身份验证和安全措施,从而远程访问系统并执行恶意操作。后门通常隐藏在系统中的某个位置,并通过特定的触发条件或密码来激活。
免杀
- 免杀(Evasion):免杀是指恶意软件或攻击工具通过各种技术手段绕过安全防御机制,以避免被杀毒软件或安全系统检测和阻止。攻击者使用免杀技术来隐藏恶意代码、改变代码签名、加密或混淆代码等,以使其在目标系统上执行时不被发现。
肉鸡
- 肉鸡(Botnet):肉鸡是指被攻击者控制的受感染的计算机或设备,通常是通过恶意软件(如僵尸网络或僵尸程序)感染的。攻击者可以通过远程控制肉鸡来执行各种恶意活动,如发送垃圾邮件、发起分布式拒绝服务(DDoS)攻击、进行密码破解等。肉鸡通常是在未经用户许可的情况下被感染和控制的。
跳板机
- 跳板机(Bastion Host):跳板机是指一个位于网络边界的安全设备或服务器,用于提供安全的外部访问通道。它可以用作访问受限资源的中间节点,通过跳板机,用户可以通过安全的方式访问内部网络或其他受保护的系统。然而,跳板机也可以被攻击者滥用,成为入侵内部网络的起点,因为它们提供了一种隐藏攻击来源的方式。
远控
- 远程控制,是在网络上由一台电脑(主控端 Remote/客户端)远距离去控制另一台电脑(被控端 Host/服务器端)的技术,这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。
- 典型软件:向日葵、Todesk
黑页
- 一些计算机被入侵后,入侵者为了证明自己的存在,对网站主页(在服务器开放 Web 服务的情况下)进行改写,从而公布入侵者留下的信息。
- 这样的网页通常称为黑页,或者网站中存在的黑链等一些网站本不应该有的内容。
拖库
- 拖库(Database Exfiltration):拖库是指攻击者未经授权地从目标数据库中窃取敏感数据的行为。攻击者通过各种手段,如渗透漏洞、密码破解、社交工程等,进入目标数据库系统,并窃取其中的数据。拖库攻击可能导致用户数据泄露、隐私侵犯和潜在的法律后果。
- 拖库也称为:脱裤。
撞库
- 撞库(Credential Stuffing):撞库是一种密码攻击技术,攻击者使用已泄露的用户名和密码组合,尝试登录到其他网站或应用程序中。攻击者利用泄露的凭据信息,自动化地进行大规模的登录尝试,希望某些用户在多个网站上重复使用相同的用户名和密码。如果用户在多个网站上使用相同的凭据,攻击者可能会成功登录并获取对应网站的访问权限。
弱口令
- 弱口令(Weak Password):弱口令指的是容易被猜测或破解的密码,缺乏足够的复杂性和安全性。弱口令通常包括短小的字母、数字或常见单词的组合,容易受到暴力破解、字典攻击或撞库攻击的影响。弱口令可能导致账户被入侵、数据泄露和系统被入侵,因此使用强密码是保护个人和组织安全的重要措施。
提权
- 提权(Privilege Escalation):是指攻击者在已经获得对计算机系统或网络的初始访问权限后,通过利用漏洞、错误配置或其他技术手段来获取更高权限或特权的过程。
- 当攻击者成功入侵一个系统或网络时,通常会以初始的低权限身份登录。然而,低权限用户通常受到许多限制,无法执行某些敏感操作或访问受限资源。为了获取更高的权限,攻击者会尝试进行提权。
- 攻击者进行提权的方式和方法取决于目标系统的特点和存在的漏洞,以下是一些常见的提权技术:
- 操作系统漏洞:攻击者可能利用操作系统中的漏洞或错误配置,以获取更高权限。这可能涉及利用操作系统内核或服务的安全漏洞来执行恶意代码、修改权限或绕过访问控制。
- 应用程序漏洞:攻击者可能利用应用程序中的漏洞,如软件错误、缓冲区溢出、注入攻击等,以获取更高权限。通过利用应用程序的漏洞,攻击者可以执行恶意代码、读取敏感文件或修改配置。
- 弱凭据:攻击者可能通过获取有效的用户名和密码或其他凭据来提权。这可以包括猜测密码、使用默认凭据、利用弱密码策略或从其他受感染的系统中获取凭据。
- 特权升级漏洞:有时候系统或应用程序中存在特权升级漏洞,攻击者可以利用这些漏洞来提升其权限。这些漏洞可能涉及错误的访问控制、不正确的权限配置或设计缺陷。
C2
C2 代表 Command and Control:即指挥与控制。C2是指攻击者使用的一种架构、协议或机制,用于远程控制已经感染的系统或网络,并指挥其执行特定操作或获取信息。
当攻击者成功入侵一个系统或网络时,他们通常需要与已感染的主机建立一种远程通信渠道,以进行后续操作、传输命令和接收结果。这就是C2的作用,它提供了一个中心化的控制平台,允许攻击者远程操纵被感染的系统。
横移
- 横向移动(Lateral Movement):是指攻击者在已经侵入一个计算机系统或网络后,通过在网络内部移动并获取更高权限或访问更多资源的过程。
- 一旦攻击者成功地入侵了一个计算机系统或网络,他们通常会试图在网络中横向移动,以获取更大的控制权或访问更敏感的数据。横向移动是攻击者从一个受感染的主机或系统扩散到其他主机或系统的过程。
中间人攻击
- 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到如今还具有极大的扩展空间。
- 在网络安全方面,MITM攻击的使用是很广泛的,曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。
- 在黑客技术越来越多的运用于以获取经济利益为目标的情况下时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
DOS/DDOS
- DOS(拒绝服务攻击):DOS攻击是指攻击者通过向目标系统发送大量的请求或恶意数据包,使得目标系统无法正常提供服务或资源给合法用户。攻击者通过消耗目标系统的计算资源、网络带宽或其他关键资源,导致系统过载或崩溃,从而使得合法用户无法访问目标系统。
- DDOS(分布式拒绝服务攻击):DDOS攻击是DOS攻击的一种变体,它利用多个来源的计算机或设备(被攻击者控制的僵尸网络或机器人网络)同时向目标系统发起大量请求,以造成更严重的影响。
网络靶场
- 网络靶场:网络靶场是一种模拟真实网络环境的安全训练和演练平台。它提供了一个安全、控制的环境,让安全专业人员能够模拟攻击、测试防御能力和进行安全培训。网络靶场通常包括虚拟机、网络设备和应用程序,可以用于模拟各种攻击场景,如漏洞利用、恶意软件感染、网络渗透等。通过在网络靶场中进行实际操作和演练,安全专业人员可以提高他们的技能和经验,了解攻击技术和防御策略,并改进网络安全防御。
APT
- 高级持续性威胁(APT):高级持续性威胁是一种具有高度组织化和持续性的攻击形式,由高级攻击者或黑客组织针对特定目标进行的长期、隐蔽的攻击活动。APT攻击的目标通常是政府机构、大型企业、关键基础设施等具有重要价值的组织或系统。
暗网
- 暗网”是指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录。
- 一般用 tor 洋葱浏览器进入。暗网是利用加密传输、P2P对等网络、多点中继混淆等,为用户提供匿名的互联网信息访问的一类技术手段,其最突出的特点就是匿名性。
黑/灰产
- 黑产(Black Hat):黑产指的是进行恶意和非法网络活动的个人或组织。黑产从事的活动包括各种攻击形式,如网络入侵、网络钓鱼、恶意软件开发和传播、数据泄露、网络犯罪等。黑产的目的通常是非法获取利益,如窃取机密信息、盗取财务资料、勒索勒金等。黑产行为违反法律和道德准则,并对个人、组织和社会造成严重的安全威胁。
- 灰产(Gray Hat):灰产是介于黑产和白产(White Hat)之间的一种行为形式。灰产指的是个人或组织在未经授权的情况下,探测和揭示系统或应用程序中的安全漏洞和弱点。虽然他们没有恶意的意图,但他们的活动仍然是非法的,因为未经授权的入侵是违法行为。灰产行为的动机可能是为了帮助提醒和改善安全问题,但他们通常没有被授权进行这些活动。
CMS/建站系统
- CMS(内容管理系统)/建站系统:CMS是一种软件工具或平台,用于创建和管理网站内容。它提供了一个用户友好的界面,使非技术人员能够轻松创建和编辑网站内容,包括文本、图像、视频等。常见的CMS包括WordPress、Joomla、Drupal等。
CTF
- CTF(Capture The Flag):CTF是一种信息安全竞赛形式,在这种比赛中,参赛者需要解决一系列的安全挑战,以获取旗标(Flag)。这些挑战可能涉及密码学、网络安全、逆向工程、漏洞利用等不同领域的技术。CTF旨在提高参赛者的技术水平和安全意识。
CVE
- CVE(Common Vulnerabilities and Exposures):CVE是一种公共漏洞和曝光的标准化命名方式。CVE为每个已知的软件漏洞分配一个唯一的标识符,以便用户和安全专家可以准确地引用和交流有关该漏洞的信息。CVE标识符通常以”CVE-“开头,后面跟着一组数字和字母。
CNVD
- CNVD(中国国家信息安全漏洞库):CNVD是由中国国家互联网应急中心(CNCERT)维护的一个公共漏洞数据库。它用于收集、发布和管理国内发现的信息安全漏洞。CNVD提供了漏洞的详细描述、危害程度评估、修复建议等信息,以帮助用户和厂商及时采取相应的安全措施。
Day
- 0day:是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。
- 1day:是指漏洞刚发布,官方已发布补丁,但网络上还大量存在的Vulnerability。
- Nday:距离漏洞发布时间过去很久。
供应链攻击
- 供应链攻击:供应链攻击是指攻击者利用目标系统的供应链环节中的弱点或恶意植入恶意软件或恶意组件,以获取未授权的访问权限、窃取敏感信息或对目标系统进行破坏。供应链攻击通常通过感染供应链中的软件、硬件或服务来实施,从而将恶意代码或恶意行为引入到最终交付给用户的产品或服务中。这种攻击方式可以对整个供应链生态系统造成广泛的影响,并且往往难以被发现和防御。
ATT&CK
- ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge):ATT&CK是MITRE公司开发的一个知识库,用于描述和归纳对抗性行动中的威胁者的战术、技术和常见知识。ATT&CK框架提供了一个结构化的方式来理解威胁者的行为模式,帮助安全团队更好地了解攻击者的策略和方法,并将该知识应用于安全防御、检测和响应。
网络空间测绘
- 网络空间测绘:网络空间测绘是一种信息安全活动,通过收集、分析和整理网络环境中的各种信息,来获取对目标网络的全面认识和了解。这些信息可以包括网络拓扑、系统配置、服务和应用程序版本、漏洞信息等。网络空间测绘有助于组织了解自身的网络情况,发现潜在的安全风险和威胁,并采取相应的安全措施来保护网络资产和数据。
SRC
- SRC(Security Response Center):SRC(安全响应中心)是一个组织或机构内部设立的部门或团队,专门负责处理安全事件和漏洞的报告、跟踪和响应。SRC通常由安全专家和研究人员组成,他们负责分析和验证报告的安全问题,与相关团队合作进行修复和漏洞披露,以及提供安全咨询和建议。SRC在保护组织的信息资产和关键业务方面起着重要的作用,并促进了安全意识和文化的建立。
安全众测
- 安全众测(Security Crowdtesting):安全众测是一种安全测试方法,利用众包的方式邀请大量的安全专家或研究人员来评估和测试系统、应用程序或网络的安全性。这些安全专家可以通过模拟攻击、漏洞扫描、代码审计等方法,发现系统中的潜在漏洞和安全风险,并向组织提供安全建议和建议。安全众测可以帮助组织发现并修复潜在的安全问题,提高系统的安全性。
沙箱
- 沙箱(Sandbox):沙箱是一种安全机制,用于隔离和限制恶意代码或可疑程序的执行环境。它提供了一个受控的虚拟环境,使恶意代码无法对真实系统造成损害。沙箱通常用于分析和检测未知的恶意软件样本,以了解其行为和潜在威胁。
黑名单/白名单
- 黑名单(Blacklist):黑名单是一种安全控制机制,用于列出已知的恶意或不受信任的实体,例如恶意IP地址、恶意域名、恶意文件等。通过将这些实体添加到黑名单中,系统可以阻止与它们之间的通信或访问,从而减少潜在的安全风险。
- 白名单(Whitelist):白名单是一种安全控制机制,用于列出已知的受信任实体或允许访问的资源。只有在白名单中的实体才能与系统进行通信或访问。白名单可以用于限制系统的访问权限,防止未经授权的实体进入系统。
社会工程学
- 社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段,获取自身利益的手法。
- 黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,当黑客攻击与社会工程学攻击融为一体时,将根本不存在所谓安全的系统。
钓鱼
- 钓鱼(Phishing):钓鱼是一种社会工程学攻击,攻击者通过伪装成可信实体(如银行、电子邮件提供商、社交媒体平台等)的方式,诱骗用户提供敏感信息,如用户名、密码、信用卡详细信息等。攻击者通常会发送仿冒的电子邮件、短信或制作伪造的网站,目的是欺骗用户相信他们正在与合法实体进行通信,并引导他们提供个人信息。
水坑
- 水坑(Watering Hole):水坑是一种针对特定目标群体的攻击技术。攻击者会选择目标群体常访问的合法网站,并在这些网站上植入恶意代码。当目标用户访问这些网站时,他们的计算机就会被感染,攻击者可以利用这个入口获取用户的敏感信息或控制其计算机。
鱼叉
- 鱼叉(Spear Phishing):鱼叉是一种定向针对特定个人或组织的钓鱼攻击。攻击者会针对目标个人或组织的特定特征进行调查,制作个性化的欺骗性电子邮件、信息或网站,以诱骗目标提供敏感信息或执行恶意操作。鱼叉攻击通常比普通的钓鱼攻击更具针对性和欺骗性。
社工库
- 社工库(Social Engineering Database)是黑客与大数据方式进行结合的一种产物,黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方。社工库是用各大网站用户的资料数据库搭建的数据库查询平台,“人肉搜索”有时候就会靠查询社工库信息来进行。
安全设备
蜜罐
- 蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的伪装服务,诱使攻击方对它们实施攻击,从而可以实现对黑客的攻击行为进行转移,并达到主动诱捕攻击行为的目的。
- 蜜罐也好比是情报收集系统,蜜罐的意图为故意成为黑客的攻击目标,引诱黑客前来攻击。当黑客入侵成功后,我们可以了解黑客是如何实现攻击的,并可随时了解黑客针对服务器发动的最新的攻击和漏洞利用行为,我们从中了解黑客所使用的工具与方法,推测黑客的攻击意图和动机,也可通过窃听黑客之间的联系,掌握他们的社交网络行为,从而能够让防御方清晰地了解其所面对的安全威胁,并通过技术和管理手段来增强真实业务系统的安全防护能力。
漏扫
- 漏洞扫描(漏扫):漏洞扫描是一种自动化安全测试技术,用于检测和识别目标系统或应用程序中存在的漏洞、弱点或安全风险。漏洞扫描器通过扫描目标系统的网络、服务或应用程序,尝试发现已知的漏洞或配置错误。它可以帮助组织及时发现和修复潜在的安全漏洞,以提高系统的安全性。
WAF
- Web应用程序防火墙(WAF):Web应用程序防火墙是一种安全设备或软件,用于保护Web应用程序免受各种网络攻击,例如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。WAF工作在Web应用程序和用户之间,监视和过滤进出应用程序的HTTP/HTTPS流量。
规则库
- 规则库(Rulebase):规则库是一组定义和指导安全控制和决策的规则集合。这些规则可以包括网络防火墙规则、入侵检测系统规则、访问控制策略等。规则库根据特定的安全策略和需求来定义,以帮助识别、过滤和阻止潜在的安全威胁和攻击。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Yongz丶!