WEB安全:网络安全常用术语

一、攻击类别

漏洞:硬件、软件、协议,代码层次的缺陷。

后⻔:方便后续进行系统留下的隐蔽后⻔程序。

病毒:一种可以自我复制并传播,感染计算机和网络系统的恶意软件(Malware),它能损害数据、系统功能或拦截正常的计算机操作。

木⻢:伪装成合法程序或文件,以欺骗用户下载或安装,窃取敏感数据或执行其他恶意活动。

肉鸡/跳板机/傀儡机:攻击者通过技术手段控制的电脑、手机、服务器,用于实现攻击者目的。

二、命令类别

EXP:利用系统漏洞进行攻击的代码。

POC:用来验证漏洞存在的一段代码。

Payload:指成功exp之后,真正在目标系统执行的代码或指令。

Shellcode:是Payload的一种,由于其建立正向/反向shell而得名。

Webshell:可以在网站上执行命令和其他操作的脚本。

Shell :系统命令权限。

三、漏洞类别

0 day漏洞(Zero-day Vulnerability):0 day 漏洞指的是已经存在但尚未被软件开发者知晓或修复的安全漏洞。

1 day 漏洞(One-day Vulnerability):1 day 漏洞指的是已经被软件开发者知晓但尚未修复的安全漏洞。

N day 漏洞(N-day Vulnerability):N day 漏洞指的是已经被软件开发者知晓,漏洞的修复补丁已经发布 n 天,但由于各种原因受害者仍未打补丁。这里的N 可以是任意大于1的整数,表示修复程序发布的时间延迟。N day 漏洞可能存在更长的时间窗口,使得攻击者有更多的机会利用漏洞进行攻击。软件的开发者应尽快修复 N day 漏洞,以减少系统受到攻击的风险。

例如,2017年5月12日爆发的永恒之蓝漏洞,虽然微软在 WannaCry 爆发之前就已经对其发布了补丁,但从爆发至今,还一直持续的被黑客所利用。

四、漏洞分类

硬件漏洞(H ardware Vulnerability):硬件漏洞指的是计算机系统或设备中的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。这些漏洞通常是由于硬件设计或制造过程中的错误、缺陷或漏洞而引起的。硬件漏洞可能导致系统的不安全性、数据泄露、未授权访问或破坏等问题。例如,硬件漏洞可能包括芯片级别的漏洞、固件漏洞或物理接口的漏洞。

软件漏洞(So ftware Vulnerability):软件漏洞指的是计算机程序或应用程序中存在的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。这些漏洞通常是由于设计、编码或配置错误而引起的。软件漏洞可能导致未授权访问、数据泄露、远程执行代码、拒绝服务攻击等问题。常⻅的软件漏洞类型包括缓冲区溢出、代码注入、身份验证绕过、跨站脚本攻击等。

网络漏洞(N etwork Vulnerability):网络漏洞指的是网络基础设施、协议或配置中存在的安全弱点或缺陷,可能会被攻击者利用来违反网络的安全性。这些漏洞通常与网络通信、数据传输或网络设备有关。网络漏洞可能导致未授权访问、数据泄露、拒绝服务攻击、中间人攻击等问题。常⻅的网络漏洞包括不安全的网络协议、弱密码策略、未经身份验证的访问等。

人员漏洞(H uman Vulnerability):人员漏洞指的是由于人为因素导致的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。这些漏洞通常与人员的行为、安全意识、训练或管理有关。人员漏洞可能包括密码泄露、社会工程攻击、内部威胁或人为错误等。攻击者可以利用这些漏洞获取敏感信息、绕过安全措施或破坏系统的安全性。

相关推荐
xixixi777778 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525298 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567898 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708319 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
冰茶丿10 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风23012 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
云水一下12 小时前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
技术不好的崎鸣同学13 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*14 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
孟郎郎14 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患