在安全測試過程中為了方便與團隊協同合作,我們需要掌握一些專業術語,方便我們的交流,減少溝通障礙!
1、0day: 0day漏洞是指負責應用程式的程式設計師或**商所未知的軟體缺陷。因為該漏洞未知,所以沒有可用的補丁程式。 它是危害最大的漏洞,對攻擊者來說也是最有價值的漏洞。如果被**,那麼在廣商的官方補丁發布之前,整個網路都處於高危預警狀態。
2、黑盒測試:在安全領域,黑盒測試就是不給你源**,讓你按照黑客攻擊的手法進行測試。以發現目標的安全性問題。
3、白盒測試:白盒測試會給你web應用的源**,讓你通過**審計的方法來檢視目標是否具有bug。
4、肉雞: 肉雞也稱傀儡機,是指可以被黑客遠端控制的機器。黑客可以操縱肉雞做任何事情,比如ddos攻擊等等。
5、抓雞: 就是控制別人的遠端聯網裝置,包括個人電腦、網路攝像頭、路由器、工業裝置、醫用裝置、遠端伺服器等等。 黑客們經常用80、8080、135、445、1433、1521、3306、3389 、4899、5900之類的埠來抓雞。
6、跳板7、poc: (proof of concept)漏洞證明,一般就是個樣本 用來證明和復現漏洞
8、exp: (exploit )漏洞利用,一般是個demo程式
9、owasp top 10:owasp(開放式web應用程式安全專案)是對所有致力於改進應用程式安全的人士開放,其最具權威的就是「10項最嚴重的web 應用程式安全風險列表」(owasp top 10) ,總結了web應用程式最可能、最常見、最危險的十大漏洞,是開發、測試、服務、諮詢人員應知應會的知識。
10、shellcode:(可提權**) 對於乙個漏洞來說,shellcode就是乙個用於某個漏洞的二進位制**框架,有了這個框架你可以在這個shellcode中包含你需要的payload來做一些事情
11、vul:(vulnerability) 漏洞
12、pwn: 指攻破裝置或者系統
13、payload:即 (有效攻擊負載)是包含在你用於一次漏洞利用(exploit)中的shellcode中的主要功能**
10、後門: 後門程式一般是指那些繞過安全性控制而獲取對程式或系統訪問權的程式方法。黑客攻陷某個系統後,一般都會留下後面,方便自己長久使用這個系統。
11、提權12、apt攻擊:(advanced persistent threat) 高階可持續性攻擊
13、c段入侵: 也叫做c段滲透。 每個ip有abcd四個段,舉個例子,192.168.0.1,a段就是192,b段是168,c段是0,d段是1,而c段入侵的意思就是拿下它同一c段中的其中一台伺服器,也就是說是d段1-255中的一台伺服器,然後利用工具嗅探拿下該服務。
14、旁站入侵15、緩衝區溢位:緩衝區溢位是指計算機向緩衝區填充的資料超過了緩衝區本身的容量,溢位的資料覆蓋在合法資料之上。緩衝區溢位是一種非常普遍、非常危險的漏洞,在各種作業系統、應用軟體中廣泛存在。利用緩衝區溢位攻擊,可以導致程式執行失敗、系統宕機、重新啟動等後果。更為嚴重的是,可以利用它執行非授權指令,甚至可以取得系統特權,進而進行各種非法操作。
16、暗網: 我們日常所使用的網際網路僅僅是冰山一角,其他還沒有被傳統搜尋引擎索引的內容統稱為深網。深網的深處被稱為「暗網」(darkweb)。暗網是由美**方發起的乙個科研專案,並於2023年開始實施,就是著名的tor(洋蔥路由器的簡稱)專案。暗網是利用加密傳輸、p2p對等網路、多點中繼混淆等,為使用者提供匿名的網際網路資訊訪問的一類技術手段,其最突出的特點就是匿名性。
17、**18、二進位制安全:二進位制安全是指,在傳輸資料時,保證二進位制資料的資訊保安,也就是不被篡改、破譯等,如果被攻擊,能夠及時檢測出來。 二進位制安全包含了密碼學的一些東西,比如加解密、簽名等。
安全發展 「雲安全」推動安全行業變革
本文講的是安全發展 雲安全 推動安全行業變革,it168 資訊 雲計算 是個已經用得很濫的字眼,google 微軟 ibm等大牌廠商都推出了自己的雲計算計畫,由於大家所在行業不同,所以其 雲計算 計畫的表現也各不相同。但仔細研究就可以知道,這些雲計算的側重點雖有不同,利用網際網路化的思路來降低成本 ...
WEB安全 初識XXE漏洞
0x00漏洞介紹 xxe全稱 xml external entity 即xml外部實體注入,漏洞是對非安全的外部實體資料進行處理時引發的安全問題。xml是用於標記電子檔案使其具有結構性的標記語言,可以用來標記資料,定於資料型別,是一種允許使用者對自己的標記語言進行定於的源語言。xml文件結構包括xm...
安全行業2年,順利通過Security 考試
我於1月11日參加通過了security 考試,下面我跟大家講述下我的備考經歷和考試經過。本人已在安全行業工作達兩年之久,然而一直缺少安全類證書,所以才決定培訓s 以下僅代表本人一些見解。備考經歷 我覺得首先聽課的時候要把考點在講義上適當標記下,聽課期間可以開始做題了,到老師講解習題的時候可以針對錯...