渗透测试常用专业术语
POC
全称 ' Proof of Concept ',中文 ' 概念验证 ' ,常指一段漏洞证明的代码。(证明漏洞的存在)
EXP
全称 ' Exploit ',中文 ' 利用 ',指利用系统漏洞进行攻击的动作。(利用漏洞进行攻击)
Payload
中文 ' 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。(利用漏洞之后执行的代码与指令)
Shellcode
简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反向shell而得名。(连接目标系统使用的代码)
肉鸡
被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动网络攻击
僵尸网络
采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络(类似于大量的肉鸡组成的网络)
木马
表面上伪装成正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限
网页木马
表面上伪装成普通的网页或是将恶意代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的电脑上来自动执行将受影响的客户电脑变成肉鸡或纳入僵尸网络。
蠕虫病毒
它是一类相对独立的恶意代码,利用了联网系统的开放性特点,通过可远程利用的漏洞自主地进行传播,受到控制终端会变成攻击的发起方,尝试感染更多的系统。
蠕虫病毒的主要特性有:自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。
挂马
就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
加壳
就是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。
目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
溢出
简单的解释就是程序对输入数据没有执行有效的边界检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。
缓冲区溢出
攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情况下,这些多余的字符可以作为“执行代码”来运行,因此足以使攻击者不受安全措施限制而获得计算机的控制权。
软件脱壳
顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去除,还文件本来面目,这样再修改文件内容或进行分析检测就容易多了。
免杀
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。
花指令
通过加入不影响程序功能的多余汇编指令,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来识别病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”。
网络钓鱼
攻击者利用欺骗性的电子邮件或伪造的Web 站点等来进行网络诈骗活动。
诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息或邮件账号口令。
受骗者往往会泄露自己的邮箱、私人资料,如信用卡号、银行卡账户、身份证号等内容。
鱼叉攻击
鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。
不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉”。
为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。通常,组织内的特定个人存在某些安全漏洞。(针对性的网络钓鱼攻击)
钓鲸攻击
捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。(针对高级人员的网络钓鱼攻击)
通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。
水坑攻击
顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。
最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
嗅探
嗅探指的是对局域网中的数据包进行截取及分析,从中获取有效信息。
APT攻击
Advanced Persistent Threat,即高级可持续威胁攻击,指某组织在网络上对特定对象展开的持续有效的攻击活动。
这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
C2
C2 全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。(渗透工具)
供应链攻击
是黑客攻击目标机构的合作伙伴,并以该合作伙为跳板,达到渗透目标用户的目的。
一种常见的表现形式为,利用用户对厂商产品的信任,在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。
所以,在某些软件下载平台下载的时候,若遭遇捆绑软件,就得小心了!
社会工程学
一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
通俗而言是指利用人的社会学弱点实施网络攻击的一整套方法论,其攻击手法往往出乎人意料。
世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
跳板
一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。
暗链
看不见的网站链接,“暗链”在网站中的链接做得非常隐蔽,短时间内不易被搜索引擎察觉。
它和友情链接有相似之处,可以有效地提高网站权重。
撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。
很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
CC攻击
即Challenge Collapsar,名字来源于对抗国内安全厂商绿盟科技早期的抗拒绝服务产品黑洞,攻击者借助代理服务器生成指向受害主机的涉及大量占用系统资源的合法请求,耗尽目标的处理资源,达到拒绝服务的目的。(类似于dos)
Webshell
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门,可以上传下载文件,查看数据库,执行任意程序命令等。(网页版的shell)
中间人攻击
中间人攻击是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而这台计算机就称为“中间人”。
商业电子邮件攻击(BEC)
也被称为“变脸诈骗”攻击,这是针对高层管理人员的攻击,攻击者通常冒充(盗用)决策者的邮件,来下达与资金、利益相关的指令;或者攻击者依赖社会工程学制作电子邮件,说服/诱导高管短时间进行经济交易。
暗网
暗网是利用加密传输、P2P对等网络、多点中继混淆等,为用户提供匿名的互联网信息访问的一类技术手段,其最突出的特点就是匿名性。
红队
通常指攻防演*中的攻击队伍。
蓝队
通常指攻防演*中的防守队伍。
紫队
攻防演中新诞生的一方,通常指监理方或者裁判方。
CA证书
为实现双方安全通信提供了电子认证。
在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。
数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
SSL证书
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。
因为配置在服务器上,也称为SSL服务器证书。
防火墙
主要部署于不同网络或网络安全域之间的出口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问。
IDS
入侵检测系统,用于在黑客发起进攻或是发起进攻之前检测到攻击,并加以拦截。
IDS是不同于防火墙。防火墙只能屏蔽入侵,而IDS却可以在入侵发生以前,通过一些信息来检测到即将发生的攻击或是入侵并作出反应。
NIDS
是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker 。
通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
IPS
全称为Intrusion-Prevention System,即入侵防御系统,目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。
或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。
反病毒引擎
通俗理解,就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。
例如奇安信自主研发的QOWL猫头鹰反病毒引擎。
告警
指网络安全设备对攻击行为产生的警报。
误报
也称为无效告警,通常指告警错误,即把合法行为判断成非法行为而产生了告警。
目前,由于攻击技术的快速进步和检测技术的限制,误报的数量非常大,使得安全人员不得不花费大量时间来处理此类告警,已经成为困扰并拉低日常安全处置效率的主要原因。
漏报
通常指网络安全设备没有检测出非法行为而没有产生告警。一旦出现漏报,将大幅增加系统被入侵的风险。
NAC
全称为Network Access Control,即网络准入控制,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
UTM
即Unified Threat Management,中文名为统一威胁管理,最早由IDC于2014年提出,即将不同设备的安全能力(最早包括入侵检测、防火墙和反病毒技术),集中在同一网关上,实现统一管理和运维。
网闸
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。
由于两个独立的主机系统通过网闸进行隔离,只有以数据文件形式进行的无协议摆渡。
堡垒机
运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
路由器
是用来连接不同子网的中枢,它们工作于OSI7层模型的传输层和网络层。
路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表(ACLs),允许将不想要的信息包过滤出去。
许多路由器都可以将它们的日志信息注入到IDS系统中,并且自带基础的包过滤(即防火墙)功能。
网关
通常指路由器、防火墙、IDS、VPN等边界网络设备。
WAF
即Web Application Firewall,即Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
SOC
即Security Operations Center,翻译为安全运行中心或者安全管理平台,通过建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
LAS
日志审计系统,主要功能是提供日志的收集、检索和分析能力,可为威胁检测提供丰富的上下文。
NOC
即Network Operations Center,网络操作中心或网络运行中心,是远程网络通讯的管理、监视和维护中心,是网络问题解决、软件分发和修改、路由、域名管理、性能监视的焦点。
SIEM
即Security Information and Event Management,安全信息和事件管理,负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。
蜜罐(Honeypot)
是一个包含漏洞的系统,它摸拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。
由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。
蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。
蜜罐类产品包括蜜网、蜜系统、蜜账号等等。
沙箱
沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。
非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。
沙箱逃逸
一种识别沙箱环境,并利用静默、欺骗等技术,绕过沙箱检测的现象
内网
通俗的讲就是局域网,比如网吧、校园网、公司内部网等都属于此类。
查看IP地址,如果是在以下三个范围之内,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
外网
直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问。
南北向流量
通常指数据中心内外部通信所产生的的流量。
东西向流量
通常指数据中心内部不同主机之间互相通信所产生的的流量。
IOC
中文名为失陷标示:用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等。
目前而言,IOC是应用最为广泛的威胁情报,因为其效果最为直接。一经匹配,则意味着存在已经失陷的主机。
杀伤链
杀伤链最早来源于军事领域,用于描述进攻一方各个阶段的状态。
在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为Kill Chain,也称作网络攻击生命周期,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵。
ATT&CK
可以简单理解为描述攻击者技战术的知识库。
MITRE在2013年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为。
ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
探针
也叫作网络安全探针或者安全探针,可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警。
网络空间测绘
用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备。
相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。
微隔离
顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
逆向
常见于逆向工程或者逆向分析,简单而言,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。
在网络安全中,更多的是调查取证、恶意软件分析等。
零信任
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权的方式,把访问者所带来的的网络安全风险降到最低。
区块链
英文名为blockchain,它是一个共享数据库,存储于其中的数据或信息,具有“不可伪造”、“全程留痕”、“可以追溯”、“公开透明”、“集体维护”等特征。
代码审计
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
CVE
全称Common Vulnerabilities and Exposures,由安全机构Mitre维护一个国际通用的漏洞唯一编号方案,已经被安全业界广泛接受的标准。
软件加壳
“壳”是一段专门负责保护软件不被非法修改或反编译的程序。
它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
经过加壳的软件在跟踪时已无法看到其真实的十六进制代码,因此可以起到保护软件的目的。
CNVD
国家信息安全漏洞共享平台,由国家计算机应急响应中心CNCERT维护,主要负责统一收集、管理国内的漏洞信息,其发布的漏洞编号前缀也为CNVD。
SRC
即Security Response Center,中文名为安全应急响应中心,主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。
shell
指的是一种命令指行环境,是系统与用户的交换方式界面。简单来说,就是系统与用户“沟通”的环境。(如:cmd,PowerShell)