freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

信安常用术语汇总
  • 关注
信安常用术语汇总
2024-12-27 19:16:09
所属地 海外

信安常用术语

本文介绍了信息安全领域中常用的术语,涵盖了一系列与网络安全威胁相关的概念。通过了解这些术语及其背后的含义,读者能够更好地理解当前信息安全环境下面临的各种威胁类型,以及保护个人和组织数字资产的重要性。

  • 挂马

通俗地说就是指木马制造者通过各种方式,在一段正常的代码里插入恶意代码,利用漏洞对用户电脑发动攻击。

因此,挂马的大规模爆发有两大温床:一是有更多的插入恶意代码的途径;二是存在漏洞的系统环境。 当这两大条件同时成立时,用户电脑的安全就会岌岌可危。

  • 木马

是那些表面上伪装成正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客热衷于使用木马程序来控制别人的电脑。比如:灰鸽子、黑洞、PcShare 等。

  • 网页木马

是表面上伪装成普通的网页文件或将自己的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置的木马服务器下载到访问者的电脑来自动执行。

  • 大马

功能比较强大的网页后门,能够执行命令,链接到后台数据库,操作文件等等操作。

  • 小马

比较简单的网页后门,一般是用来上传保存大马而使用。(多个思路,渗透成功率更高)

  • 一句话木马

只有一段很短的网页代码后门,可以用客户端去连接,以此对网站进行控制。

  • 键盘记录器木马

键盘记录器木马是一种恶意软件,它可以监控键盘的点击,记录到文件中然后方法送给远程的攻击者,早年间的企鹅用户被盗,其中就有一种是目标计算机被植入了此种木马,然后当登录企鹅时记录了密码,导致账户密码丢失。

  • 后门

是黑客在利用某些方法成功地控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上很难被察觉,但是黑客却可以使用相应的程序或者方法来轻易地与这台电脑建立连接,重新控制这台电脑。就好像是客人偷偷地配了一把主人房间的钥匙,可以随时进出主人的房间而不被主人发现一样。

通常大多数的特洛伊木马程序可以被黑客用于制作后门。

  • 肉鸡

也称傀儡机,是指可以被黑客远程控制的机器。 比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。

肉鸡通常被用作DDOS攻击。 可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。

  • 社工库

一个强大的数据库,是黑客们将泄露的用户数据进行整合分析后,归档到一个集中的地方。

  • 提权

提高自己在服务器或系统中的权限,拥有更高的权限,所能做的事情就越多。

  • 网络钓鱼

利用欺骗性的电子邮件或者Web站点来进行欺骗,受害者访问后,会泄露自己的隐私信息,如用户名和密码等等。

  • 旁注

旁注(或称为“旁路”)通常指的是通过非正常手段访问系统或数据的技术。这些手段可能会绕过安全措施,导致敏感信息的泄露或系统的破坏。

  • 社会工程学攻击

社会工程学攻击专门是对受害者心理的弱点一种攻击,利用一些心理学的知识,察言观色,一步一步的诱导被攻击者按照自己的想法去做事,或者可以套话,套出很多有用的信息,强大的社会工程学家可以不用爆破,获得用户密码。

(可以去看看WHOAMI这部影片,将会有更深刻的了解)

  • 托库

托库是将数据库中的数据导出,在黑客入侵成功后,则会把数据库中的所有数据一并带走。

  • 撞库

是指黑客利用自己所收集的互联网泄露的信息,生成一个密码字典,然后批量的去尝试登录其他网站。

  • Rootkit

是攻击者用隐藏自己的行踪和保留 root(根权限,可以理解成 Windows 下的System 或者管理员权限)访问权限工具。当攻击者通过远程攻击的方式获得系统的 root 访问权限后,会在对方的系统中安装 rootkit,以达到自己长久控制对方的目的。

  • IPC$

是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管理,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机资源时使用。

  • shell

指的是一种命令执行环境,比如我们按下键盘上的 “开始键+R”时出现“运行”对话框,在里面输入“cmd"会出现一个用于执行命令的黑窗口,这个就是 Windows 的 Shell 执行环境。通常我们使用远程溢出程序成功一处远程电脑后得到的那个用于执行系统命令的环境就是对方的 shell。

  • WebShell

WebShell 就是以 ASP、PHP、JSP 或者 CGI 等网页文件形式的一种命令执行环境,也可以将其称做是一种网页后门。黑客在侵入了一个网站后,通常会将这些 ASP 或 PHP 后门文件与网站服务器 Web 目录下正常的网页文件混在一起,之后就可以使用浏览器来访问这些 ASP或者 PHP 后门,得到命令执行环境,以达到控制网站服务器的目的。可以上传下载文件、查看数据库、执行任意程序命令等。

  • 反弹 Shell(Reverse Shell)

反弹 Shell是一种网络攻击技术,通常用于渗透测试或恶意攻击中。其基本原理是通过建立一个从被攻陷的目标主机(受害者)向攻击者控制的主机(攻击者)建立反向连接,从而允许攻击者远程执行命令。反弹 Shell 可以被用作后门,允许攻击者在未来的某个时间再次访问受害者主机。

  • RCE (remote command/code execute) 远程系统命令执行

RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。

  • VUL

Vulnerability 的缩写,泛指漏洞

  • 0day 漏洞

又称零日漏洞 「zero-day」。是已经被发现 (有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。

  • 零日攻击或零时差攻击「zero-dayattack」

是指利用这种漏洞进行的攻击,提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。

  • 1day

1day刚发布,但是已被官方发布补丁,网络上还大量存在的Vulnerability。

  • Nday

Nday已经被公布出来的0day。

  • 解析漏洞

解析漏洞通常指的是在文件名或路径解析过程中,由于程序未能正确处理某些字符或格式,导致安全检查失效或文件被错误解析的问题。这种漏洞可能允许攻击者操纵文件名,使得系统或应用程序处理文件时出现意外行为。

  • 条件竞争漏洞

条件竞争漏洞是一种常见的安全漏洞,通常出现在多线程或多进程环境中。当两个或多个线程或进程在共享资源时,条件竞争会导致系统的行为依赖于操作的执行顺序。这种不确定性可能被恶意用户利用,从而造成安全问题。

  • 白名单目录穿透漏洞 / 路径穿越漏洞

攻击者利用该漏洞绕过服务器对文件访问的限制,访问未授权的文件或目录。即使系统可能使用了白名单来限制可访问的路径,但如果实现不当,仍然可能导致目录穿透。

  • Bypass Filter

Bypass Filter是一种绕过过滤器的技术或方法,涉及试图绕过安全机制、输入验证或数据过滤,以执行某种未授权的操作。这种技术在网络安全和应用程序安全领域中常见,尤其是在漏洞利用和攻击场景中。

  • CVE「Common Vulnerabilities & Exposures」

是指公共漏洞和暴露,例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

如果在一个漏洞报告中指明的一个漏洞,有 CVE 名称的话就可以快速地在任何其它 CVE 兼容的数据库中找到相应修补的信息,解决安全问题。

  • 渗透测试

包括黑盒测试、白盒测试、灰盒测试,这些是软件测试领域的三种基本方法,各自具有独特的侧重点和应用场景。

黑盒测试

黑盒测试是一种不考虑内部实现的测试方法,测试人员仅依据需求规格说明书,关注软件的外部功能。其主要目标是验证软件是否按照预期工作,确保输入能产生正确的输出。黑盒测试通常用于功能测试、系统测试和用户验收测试,适合在软件开发的后期阶段进行。

白盒测试

白盒测试则是一种基于内部结构的测试方法,测试人员需要深入了解代码和程序逻辑。其目标是验证代码的正确性和逻辑流,确保所有代码路径和条件都被测试到。此方法通常用于单元测试和集成测试,适合在软件开发的早期阶段进行,能够帮助发现隐藏的逻辑错误和潜在的安全漏洞。

灰盒测试

灰盒测试结合了黑盒和白盒测试的优点,测试人员对系统的内部结构有部分了解,可以在执行功能测试的同时,利用对代码的了解来识别潜在问题。灰盒测试既关注软件的外部功能,又考虑内部实现,适合用于系统集成测试和回归测试,能够提高测试的覆盖率和有效性。

  • SRC(SecurityResponse Center)

中文名为安全应急响应中心,主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。

  • HVV(护网)

HVV的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。

  • IDS(Intrusion Detection System,入侵检测系统)

IDS是一种用于监控网络或系统活动,以识别潜在的恶意活动或违反安全策略的技术

  • ip地址和MAC地址

ip地址:分配每个设备可以位于网络上的地址。

MAC地址:(机器访问控制)是分配给每个设备网络接口的唯一序列号

  • CMS(Content Management System)

CMS即内容管理系统,是一种用于创建、管理和发布数字内容的软件应用程序。它使用户能够轻松地构建和维护网站,而无需深入的编程知识。

  • 踩点,踩点技术

踩点:指的是在访问任何网络之前的信息收集,将收集到与目标网络有关的信息全部累积起来,黑客入侵前采用的方法。

信息收集可谓是非常关键,前期信息收集的足够多,后期在渗透的过程中就会有更多的思路去拓展

踩点的技术:开源踩点、网络枚举、扫描、协议栈指纹等等

  • 暴力攻击

暴力攻击是指用不断的枚举去破解密码并获取系统和网络资源的技术,需要较长的时间,非常典型的工具就是hydra(九头蛇)

  • Dos攻击

Dos攻击称为拒绝服务攻击,是一种对网络的恶意攻击,这是通过使用没有用的流量去发起对网络的洪流攻击,消耗网络的资源,使网络不能正常访问,虽然Dos不会导致信息泄露或者被窃取以及一些安全漏洞,但是会造成网站所有者的各类损失。

  • ssti注入(Server-Side Template Injection)

ssti注入又称服务器端模板注入攻击,和sql注入一样,也是由于接受用户输入而造成的安全问题。

  • SQL注入

SQL注入是用于窃取数据的一种技术,因为数据大部分存在于数据库中,而查询数据获取数据的代码都写在应用程序的代码中,这样就有可能因为代码写的不规范,导致入侵者可以通过将恶意SQL命令注入到数据库引擎执行,从而造成数据泄露。

SQL注入常年位列owasp top10 榜首!

  • 宽字节注入

宽字节注入是一种网络安全攻击手段,利用字符编码的漏洞来注入恶意代码。攻击者通过插入特定的宽字节(通常是多字节字符集中的字符)来操纵目标系统的输入处理,从而绕过安全过滤机制。

  • 联合注入

攻击者利用 UNION 操作符将恶意查询与原始查询结合,以获取额外的数据。当攻击者可以控制SQL查询的某些部分时,他们可以通过联合查询来提取来自其他表的信息,通常用于获取与原查询具有相同列数和数据类型的数据。

  • 第二次注入

第二次注入是一种SQL注入攻击类型,攻击者通过将恶意SQL代码存储在数据库中,等待后续操作触发该代码的执行。这种攻击通常依赖于应用程序的逻辑流程,使得攻击更隐蔽,难以检测。由于攻击代码在第一次请求中并不立即执行,防御机制可能无法及时发现这一注入。

  • 盲注

盲注与普通的SQL注入不同,攻击者不能直接从页面上看到查询结果,只能通过观察应用程序的行为(如响应时间、错误信息等)来推测信息。

盲注的两种主要类型:布尔注入、时间注入

  • 布尔注入

布尔注入攻击者通过利用布尔逻辑(如AND、OR)来构造恶意输入,使得数据库查询的逻辑条件返回不同的结果,从而获取敏感信息或执行未授权操作。通常发生在应用程序未对用户输入进行适当验证和过滤时。

  • 时间注入

时间注入通常用于SQL注入或基于时间的盲注。攻击者通过故意延迟查询(例如使用 SLEEP 函数),观察响应时间的变化来判断查询是否成功。利用数据库响应时间的差异来推断敏感信息。示例:


  • 报错注入

报错注入是一种SQL注入攻击的技术,攻击者通过故意构造错误的SQL查询,使数据库抛出错误,进而从错误消息中获取敏感数据,如数据库结构、表名、列名等。

快速反馈:与盲注不同,报错注入能直接利用错误信息进行快速推断。

  • 注入点

注入点是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库运行账号的权限的不同,所得到的权限也不同。

  • 文件包含

文件包含分为远程文件包含(RFI)和本地文件包含(LFI)

  • 内网

通俗地讲,内网就是局域网。比如网吧、校园网、公司内部网等都属于此类。

如果计算机的IP地址在以下三个范围之内,就说明该计算机是处于内网之中的:

10.0.0.0~10.255.255.255

172.16.0.0~172.31.255.255

192.168.0.0~192.168.255.255

  • 外网

外网是相对于内网而言,其中的计算机直接连入互联网,从而与互联网上的任意一台计算机互相访问。IP 地址不是内网地址。

  • 网络嗅探

网络嗅探是指通过监视计算机网络流动的数据,通过捕获并查看网络上的数据包,窃取信息,同时嗅探器工具可以帮助定位网络问题。

  • HTTP 走私(HTTP Smuggling)

HTTP 走私是一种网络攻击技术,攻击者利用 HTTP 协议的漏洞,在 Web 服务器和代理之间插入恶意请求,以实现未授权的数据访问或其他恶意行为。

  • ARP欺骗

ARP是地址解析协议,攻击者通过伪造的ARP请求和应答数据包来改变目标计算机的ARP缓存更改MAC地址,攻击局域网。此时可以使用网络嗅探工具联动,查看被攻击者正在浏览的一些图片或者信息等等的数据。

  • C2 命令与控制服务器

也称为 C&C 或 C2,攻击者使用它来维持与目标网络内受感染系统的通信。“命令”和“控制”这两个术语经常被广泛使用,过去十年中,恶意网络攻击呈上升趋势。最具破坏性的攻击之一通常通过 DNS 执行,是通过C&C完成的,命令和控制被定义为威胁行为者用于通过网络与受感染设备进行通信的技术。

  • CRUD

CRUD 是指软件应用程序能够执行的四种基本操作——创建、读取、更新和删除。 在此类应用中,用户必须能够创建数据、通过读取数据、更新或编辑数据来访问UI 中的数据,以及删除数据。

  • 黑客攻击阶段

利用漏洞进行攻击,获取访问权,权限提升,应用程序隐藏,消除操作记录掩盖踪迹。

  • 溢出

确切地讲,应该是“缓冲区溢出”,简单的解释就是程序对接受的输入没有执行有效的检测而导致错误,后果可能造成程序崩溃或者执行攻击者的命令。大致可以分为堆溢出、栈溢出两类。

  • 注入

随着 B/S 模式应用开发的发展,使用这种模式编写程序的程序员越来越多,但是由于程序员的水平参差不齐,相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要的数据,这个就是所谓的 SQL injection 及 SQL注入。

  • 注入点

指可以实现注入的地方,通常是一个访问数据库的连接。根据注入点数据库运行账号的权限的不同,你所得到的权限也不同。

  • 端口

端口(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些将这些数据处理后,再将相应的回复通过开启的端口传给对方。一般每一个端口对应相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。

  • 旁站入侵

是指同一个服务器上有多个站点,可以通过入侵其中一个站点,通过提权跨目录访问其他站点。

  • C段入侵

C段下入侵同一网段的服务器,如果拿下其中一台服务器,通过此服务器可以嗅探目标服务器传输的数据。

  • 免杀

指通过加壳、加密、修改特征码、加花指令等技术来修改程序,使其逃过杀毒软件的查杀。

  • 加壳

指利用特殊的算法,将 EXE 可执行程序或者 DLL 动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至躲过杀毒软件查杀的目的。目前较常用的壳有 UPX、ASPack、PePack、PECompact、UPack、免疫 007、木马彩衣等。

  • 跳板

一个具有辅助作用的机器,利用这个主机作为一个间接工具,控制其他主机,一般和肉鸡连用。

  • 花指令

几句汇编指令,让汇编句进行一些跳转,使得杀毒软件不能正常得判断病毒文件得构造。通俗得讲就是杀毒软件使从头到脚按顺序来查找病毒,如果把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了。

  • 软件加壳

“壳”是一段专门负责保护软件不被非法修改或反汇编的程序。它们一般先于程序运动,拿到控制权,然后完成它们保护软件的任务。经过加壳的软件在跟踪时只能看到其真实的十六进制代码,因此可以起到保护软件的目的。

  • 软件脱壳

顾名思义,就是利用相应的工具,把在软件“外面”其保护作用的“壳”程序去除,还文件本来面目,这样在修改文件内容就容易多了。

  • 蠕虫病毒

蠕虫病毒类似于脚步程序,它利用了 Windows 的开放性特点,即一个脚本程序能调用功能更大的组件来完成自己的功能。以 VB 脚本病毒为例,是把 VBS 脚本文件加在附件中,使用 *.HTM、VBS 等欺骗性文件名来破坏系统。蠕虫病毒的主要特性有自我赋值能力、很强的传播性、潜伏性、特定的触发性及很大的破坏性。

CMD 是一个所谓的命令行控制台。有两条进入该程序的信道:第一,鼠标单击“开始运行”,在出现的编辑中输入“CMD”,然后单击“确定”;第二,在启动 Windows 2000 的时候,按 F8 键进入启动选择菜单,移动光条或键入数字至安全模式的命令行状态。出现的窗口时一个在 Windows 9x 系统常见那种 MS DOS 方式的界面、尽管微软把这个工具当作命令解释器,但是用方法和原来的 DOS 没有区别。

  • 嗅探器

嗅探器(Snifffer)就是能够铺获网络报文的设备。嗅探器的正当用处在于分析网络流量,以便找出所关系的网络中潜在的问题。

  • 蜜罐

蜜罐(Honeypot)是一个包含漏洞的系统,是一个故意暴露给攻击者的目标,为的是引诱黑客攻击,从而知道攻击者的攻击手段,从而更好地进行防御。它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其他的任务需要完成,因此所有连接的尝试都被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正有价值的内容将不受侵犯。

  • 弱口令

指强度不够、容易被猜解的,类似 123、abc 这样的口令(密码)

  • 银弹

“银弹”指的是一种可以一劳永逸地解决所有安全问题的技术或策略。但现实中,安全问题往往复杂多变,没有单一的解决方案可以完全消除所有风险。

  • 默认共享

默认共享是 Windows 2000/xp/2003 系统开启共享式自动开启所有硬盘的共享,因为加了“$"符号,所有看不到共享的托手图标,也称为隐藏共享。

  • PoC「Proof of Concept」,

中文译作概念验证。在安全界,你可以理解成为漏洞验证程序。和一些应用程序相比,PoC 是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。这个术语会在漏洞报告中使用,漏洞报告中的 PoC 则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。

  • Exp 「Exploit」

中文译作漏洞利用程序。简单讲就是一段可以发挥漏洞价值的程序。比如:目标存在一个 SQL 注入漏洞,然后被你知道了,然后你编写了一个程序,通过这个 SQL 注入漏洞,拿到了目标的权限,那么这个程序就是所谓的 Exp 了。当然,如果你没有使用这个漏洞,它就这么放着,那么这个漏洞,对你来说可以认为是没有价值的。

关于 PoC / Exp 的几个误区

写 PoC 要会 PythonPoC 的存在,只有一个目的:证明漏洞存在。而关于 PoC 的形式,或者说代码实现方式,你想用什么方式,就用什么方式。推荐 Python,只是说安全界用 Python 的人居多,你写的东西能被更多人看懂,还有 Python 这门语言的灵活,类库强大等特性,给编写的人提供了很大便利。

误区:PoC 就是 Exp。严格来讲,PoC 和 Exp 是两个东西。PoC 就是用来证明漏洞存在的,而 Exp 是用来利用这个漏洞的。在很多情况下我们知道了漏洞存在,却不知道具体怎么利用,编写一个 PoC 非常简单,而编写一个 Exp 是相当有挑战性的。

PoC 和 Exp 的区别像是发现了家门口的超市的锁有问题,去证明锁有问题和通过锁有问题这个现象偷到超市的钱是两回事。

  • Payload

有效载荷,成功 exploit 后,真正在目标系统执行的代码或指令。

  • CNVD

国家信息安全漏洞共享平台,简称CNVD。

  • 漏洞靶场「Vulnerability Firing Range」

漏洞靶场是一个已经复现了漏洞让你测试漏洞用的环境,一般用虚拟机或者 Docker 来实现的。

如果你想快速构建一个测试用的漏洞靶场,可使用 Vulhub 项目快速部署漏洞测试靶场。Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。

Vulhub 项目地址:https://vulhub.org/

  • CVSS 「Common Vulnerability Scoring System」

即通用漏洞评分系统。CVSS 是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度

CVSS 是安全内容自动化协议「SCAP」的一部分,通常 CVSS 同 CVE 一同由美国国家漏洞标准库「National Vulnerabiliy Database」发布,由美国国家基础建设咨询委员会「NIAC」委托制作,是一套公开的评测标准,经常被用来评测企业资讯科技系统的安全性,并受到 eBay、Symantec、Cisco、Oracle 等众多厂商支援。

CVSS 的目标是为所有软件安全漏洞提供一个严重程度的评级,这就意味着 CVSS 旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)。而不管这个安全漏洞影响的软件类型是什么,不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。

由于这个评分范围非常广,这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数 10.0 分。换句话说,CVSS 基准分数为 10.0 分的安全漏洞一般指能够完全攻破系统的安全漏洞。

典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者 Root 权限。例如:国家安全漏洞数据库中一个第三方产品中的这种安全漏洞被解释为:攻击者能够安装程序、观看、修改或者删除数据,或者创建拥有用户全部权利的新账户。

CVSS 的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS 得分基于一系列维度上的测量结果,这些测量维度被称为量度「Metrics」。

漏洞的最终得分最大为 10,最小为 0。得分 7-10 的漏洞通常被认为比较严重,得分 在 4-6.9 之间的是中级漏洞,0-3.9 的则是低级漏洞。

  • SCAP 「Security Content Automation Protocol」

是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据,SCAP 由 NIST 负责维护。SCAP 是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。

SCAP主要解决三个问题:实现高层政策法规等到底层实施的落地。将信息安全所涉及的各个要素标准化。将复杂的系统配置核查工作自动化。

  • 高级持久威胁(APT)

一种网络攻击,使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通 常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。

这些攻击往往来自多个入口点,并且可能使用多个攻击媒介(例如,网络攻击,物理攻击,欺骗攻击)。一旦系统遭到破坏,结束攻击可能非常困难。

  • 纵向渗透

定义:纵向渗透指的是攻击者通过获取高权限用户的访问权限,进一步渗透到更深层次的系统或数据中。这通常包括从低权限账户提升到高权限账户的过程。

目标:1.获取管理员权限或超级用户权限。2.访问敏感数据、系统配置或其他关键资源。

  • 横向渗透

定义:横向渗透指的是攻击者在获得某个系统或网络中一个账户的访问权限后,进一步访问同一层级的其他系统或账户,而不是向上提升权限。

目标:1.扩大攻击面,访问多个系统或账户。2.收集更多信息,寻找进一步攻击的机会。

纵向渗透关注的是权限的提升,从低权限向高权限移动,旨在获取更深层次的控制。

横向渗透则是在同一权限层级内扩展访问,旨在访问更多的目标或资源。

  • 警报(Alert)

关于已检测到或正在进行信息系统网络安全威胁的通知。

  • 防毒软件(Antivirus)

防病毒软件用于监视计算机或网络,以检测从恶意代码到恶意软件的网络安全威胁。防病毒程序不仅可以警告您威胁的存在,还可以删除或消除恶意代码。

  • 攻击特征(Attack signature)

一种特征性或独特性模式,可以帮助将一种攻击与另一种攻击联系起来,从而确定可能的参与者和解决方案。

  • 攻击者(Attacker)

威胁的诱因:恶意角色,他们试图更改,破坏,窃取或禁用计算机系统上保存的信息,然后利用其结果。

  • 认证方式(Authentication)

验证用户,进程或设备的身份或其他属性的过程。

  • 行为监控(Behaviour monitoring)

观察用户,信息系统和流程的活动。可用于根据组织政策和规则,正常活动的基准,阈值和趋势来衡量这些活动。

  • 黑名单(Blacklist)

实体(用户,设备)被阻止,拒绝特权或访问的列表。

  • 蓝队 (Blue team)

模拟网络安全攻击中的防御小组。蓝队在红队攻击时捍卫企业的信息系统。这些模拟攻击通常是由中立组织怀特(White Team)建立和监控的业务演习的一部分。

  • 机器人(bot)

连接到Internet的计算机,该计算机已受到恶意逻辑的破坏,无法在远程管理员的命令和控制下进行活动。

  • 僵尸网络(Botnet)

连接到Internet的受感染设备网络过去常常在所有者不知情的情况下进行协调的网络攻击。

  • 自携设备办公(BYOD)

组织允许员工将其个人设备用于工作目的的策略或政策。

  • 非军事区或隔离区(DMZ,Demilitarized Zone)

DMZ是网络安全架构中的一种设计,用于增强网络的安全性。它通常指在内部网络和外部网络(如互联网)之间设置的一个中间区域,用于放置公共访问的服务和设备。

  • 爆破攻击(Brute force attack)

利用计算能力自动输入大量数字组合以发现密码并获得访问权限的攻击

  • 数字证书(Certificate)

数字证书是数字身份验证的一种形式,它允许计算机,用户或组织安全地交换信息。

  • Web 应用程序防火墙WAF(Web Application Firewall)

WAF是一种专门用于保护 Web 应用程序的安全设备或软件,旨在防止各种攻击,如 SQL 注入、跨站脚本(XSS)和其他常见的 Web 漏洞。

  • iptables

iptables 是 Linux 操作系统中用于设置、维护和检查 IP 数据包过滤规则的工具。它是 Linux 内核的一个部分,主要用于实现网络防火墙和网络地址转换(NAT)

  • 网络地址转换 NAT(Network Address Translation)

NAT是一种用于修改 IP 数据包的源地址或目的地址的技术,广泛应用于网络中,以实现多种目的,如节省 IP 地址、增强安全性等。

  • 认证信息系统审核员(CISA)

监视,审计,控制和评估信息系统的专业人员的认证。

  • 认证信息系统安全经理(CISM)

ISACA的高级认证,适用于具有开发和管理企业信息安全计划的知识和经验的专业人员。

  • 信息系统安全认证专家(CISSP)

针对CISO和其他信息安全领导者的管理认证。

  • 计算机事件响应小组(CIRT)

一个调查人员团队专注于网络安全漏洞。他们的作用是分析事件的发生方式以及受影响/丢失的信息。然后,他们使用此洞察力做出回应。

  • 计算机网络防御(CND)

CND通常应用于军事和政府安全,是指为保护信息系统和网络免受网络攻击和入侵而采取的措施。

  • 信息和相关技术的控制目标(COBIT)

由ISACA开发并不断更新的业务框架,包括用于信息技术的管理和治理的实践,工具和模型,包括风险管理和合规性。

  • 证书(Credentials)

用于验证用户身份的信息,例如密码,令牌,证书。

  • 跨站点脚本(XSS)

跨站点脚本(XSS)是通常在Web应用程序中发现的软件漏洞,它使在线犯罪分子可以将客户端脚本注入其他用户查看的页面中。

攻击者可以同时利用跨站点脚本漏洞来覆盖访问控制。除非网络管理员或网站所有者未采取必要的安全措施,否则此问题可能会成为严重的安全风险。

  • 跨站请求伪造CSRF(Cross-Site Request Forgery)

CSRF是一种网络攻击技术,攻击者利用受害者的身份,诱使其在不知情的情况下向 Web 应用程序发送请求,从而执行不当操作。

  • 黑客画像

黑客画像是对黑客进行描述和刻画的过程,以及对他们的特征、行为和技能进行总结和概括的结果。黑客画像的目的是为了更好地理解黑客的心理、行为和动机,从而提高网络安全和预防潜在的攻击。

  • 静止数据(Data at rest)

持久存储中的数据,即无论设备是否连接到电源,仍保留在设备上的数据,例如硬盘,可移动媒体或备份。

  • 数据泄露(Data breach)

未经授权的移动或泄露信息,通常是向组织外部的一方。

  • 数据完整性(Data integrity)

完整,完整和可信的数据质量,未经未经授权或意外的方式修改或破坏的数据质量。

  • 数据丢失(Data loss)

不再有数据,无论是因为它被盗,删除还是忘记了位置。

  • 防止数据丢失(DLP)

防止敏感数据通过安全边界的安全策略和相关程序。

  • 拒绝服务攻击(DoS)

这是一种网络攻击类型,通常会通过使服务超载请求来阻止信息系统服务或资源的授权使用或损害访问。

  • 字典攻击(Dictionary attack)

攻击者使用已知的词典单词,短语或常用密码来访问您的信息系统。这是一种蛮力攻击。

  • 分布式拒绝服务(DDoS)

分布式拒绝服务攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。

DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。

  • 下载攻击(Download attack)

未经用户知情或同意而在设备上安装的恶意软件或病毒-有时称为“过马路下载”。

  • 脱机(Offline)

脱机是指在没有网络连接的情况下进行操作或使用某个应用程序。在脱机状态下,你无法访问网络资源或进行在线交互。

  • 网络协议(Network Protocol)

网络协议是在计算机网络中定义通信规则和标准的集合。常见的网络协议包括TCP/IP、HTTP、FTP等。

  • 网络拓扑(Network Topology)

网络拓扑是指计算机网络中设备之间物理或逻辑连接的结构布局。常见的网络拓扑包括星型、总线型、环型等。

  • 内部网(Intranet)

与Internet一样,“ Intranet ”也是一个合成词,“ Intra ”的意思是“内部的”,“net”是“ network ”的缩写,是指网络,合起来就是“内部网”,由于它主要是指企业内部的计算机网络,所以也称“企业内部网”。


从原理上来说,Intranet其实就是一个局域网,只是功能非常全面,在Intranet内部可以像Internet上一样收发电子邮件,进行WWW浏览。当然这些操作都只限于在企业内部,并不能直接从Internet获取信息。


Intranet 与 Internet 相比,可以说 Internet 是面向全球的网络,而 Intranet 则是 Internet 技术在企业机构内部的实现,它能够以极少的成本和时间将一个企业内部的大量信息资源高效合理地传递到每个人。

Intranet为企业提供了一种能充分利用通讯线路、经济而有效地建立企业内联网的方案,应用intranet,企业可以有效的进行财务管理、供应链管理、进销存管理、客户关系管理等等。


过去,只有少数大公司才拥有自己的企业专用网,而现在不同了,借助于 Internet 技术,各个中小型企业都有机会建立起适合自己规模的"内联网企业内部网,企业关注 Intranet 的原因是,它只为一个企业内部专有,外部用户不能通过 Internet 对它进行访问。

计网知识

  1. IP地址分类:

A、B、C、D、E类

  • A类地址

范围是0-127,0是保留的并且表示所有IP地址,127也是保留的并用于测试回环的,就比如有的,本机地址在运行某个web项目时,会让访问127.0.0.1或者0.0.0.0加上端口号。

第一段号码为网络号码,剩下三段为本地计算机的号码,地址范围:0.0.0.1——126.0.0.0

子网掩码为255.0.0.0(用于区别网络类型)此处第一段0或者126是网络号码,后面的0.0.1或0.0.0是说明的本地计算机的号码。

  • B类地址

范围是:128-191,例如:172.168.1.1,第一段和第二段是网络号码,也就是说172.168这两段是网络号码,后面的1.1是本地计算机号码。

总体B类地址范围是:128.0.0.0——191.255.255.255

子网掩码:255.255.0.0

  • C类地址

范围是:192-223 ,例如:192.168.1.1,第一、二、三段都是网络号码,剩下的那个1是本地计算机号码,如果安装过虚拟机可能清楚,在虚拟机安装后,将虚拟机的网络连接设为NAT模式,它其实默认的就是C类地址。

总体C类地址范围是:192.0.0.0——223.255.255.255

子网掩码:255.255.255.0

  • D类地址称为广播地址,用于多点广播,平时我们不涉及
  • E类地址是保留地址,也不会涉及。

NAT(Network Address Translation,网络地址转换)是一种用于修改 IP 数据包的源地址或目的地址的技术,广泛应用于网络中,以实现多种目的,如节省 IP 地址、增强安全性等。

  1. 端口的分类
1.按端口号分布划分
  • 公认端口

公认端口包括端口号范围是0~1023。它们紧密绑定于一些服务。通常,这些端口的通信明确表明了某种服务的协议,比如80端口分配给HTTP服务,21端口分配给FTP服务等。

  • 注册端口

注册端口端口号为1024~49151。它们松散地绑定于一些服务。也就是说,有许多服务绑定于这些端口,这些端口同样用于许多其他目的,比如许多系统处理动态端口从1024左右开始。

  • 动态或私有端口

动态或私有端口的端口号为49152~65535。理论上,不应为服务分配这些端口。但是一些木马和病毒就比较喜欢这样的端口,因为这些端口不易引起人们的注意,从而很容易屏蔽。

2.按协议类型划分

使用TCP协议的常见端口主要有如下几种:

  • HTTP

HTTP是用户使用的最多的协议,即"超文本传输协议"。当上网浏览网页时,就要在提供网页资源的计算机上打开80号端口以提供服务。WWW服务和Web服务器等使用的就是这个端口。

  • FTP协议端口

FTP即文件传输协议,使用21端口。某计算机开了FTP服务,便启动了文件传输服务,下载文件和上传主页都要用到FTP服务。

  • Telnet协议端口

该端口是一种用于远程登录的端口,用户可通过自己的身份远程连接到计算机上,通过这种端口可提供一种基于DOS模式的通信服务。如支持纯字符界面BBS的服务器会将23端口打开,以对外提供服务。

  • SMTP协议端口

现在很多邮件服务器都使用这个简单邮件传送协议来发送邮件。如常见的免费邮件服务使用的就是此邮件服务端口,所以在电子邮件设置中经常会看到SMTP端口设置栏,服务器开放的是25号端口。

  • POP3协议端口

POP3协议用于接收邮件,通常使用110端口。只要有使用POP3协议的程序(如Outlook等),就可以直接使用邮件程序收到邮件(如126邮箱用户就没有必要先进入126网站,再进入自己的邮箱来收信了。)

使用UDP协议的常见端口主要有如下几种:

  • DNS

DNS用于域名解析服务,这种服务在Windows NT系统中用得最多。Internet上的每一台计算机都有一个网络地址与之对应,这个地址就是IP地址,它以纯数字形式表示。但由于这种表示方法不便于记忆,于是就出现了域名,访问计算机时只需要知道域名即可。域名和IP地址之间的变换由DNS服务器来完成(DNS用的是53号端口)。

  • SNMP协议端口

SNMP即简单网络管理协议,用来管理网络设备,使用161号端口。

QQ协议端口

QQ程序即提供服务又接收服务,使用无连接协议,即UDP协议。

QQ服务器使用8000号端口侦听是否有信息到来,客户端使用4000号端口向外发送信息

  1. 子网掩码

1.定义:子网掩码是一个32位的二进制数,通常以点分十进制表示(例如:255.255.255.0)。它用于划分IP地址的网络部分和主机部分,通过与IP地址结合使用,帮助确定一个IP地址属于哪个子网。

2.结构

  • 网络部分:子网掩码中为1的位表示网络部分。
  • 主机部分:子网掩码中为0的位表示主机部分。

例如,对于IP地址192.168.1.1和子网掩码255.255.255.0:

  • 网络部分:168.1
  • 主机部分:1
  1. CIDR表示法

子网掩码也可以用CIDR(无类域间路由)表示法来表示,例如192.168.1.0/24,其中“/24”表示网络部分占用24位。

  1. 示例
  • 子网掩码255.255.0:表示网络中有256个IP地址(从0到255),其中可用主机地址为1到254(0和255分别用于网络地址和广播地址)
# web安全 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
信安常用术语
    计网知识
    • 2.按协议类型划分
    • 使用TCP协议的常见端口主要有如下几种: