渗透测试行业术语扫盲(第二篇)—— 安全基础概念类术语

🧭 前言

理解安全领域最核心的一批概念,是迈入渗透测试与漏洞挖掘的第一道门槛。

如果这些术语模糊,那么学习任何漏洞原理与实战技术都会很吃力。

本篇将从 "安全是什么、保护什么、要防谁、防什么攻击" 四个方面扫盲基础术语。


🛡️ 1. 信息安全(Information Security)

🟦 通俗解释

信息安全就是:

不让数据 被偷、被改、被删、被恶意控制、被乱传播

它保护的是:

  • 我们的电脑
  • 手机信息
  • 账号密码
  • 企业服务器
  • 国家重要数据

一句话:让信息安全、正确地由该看的人看到,不该看的人永远看不到。

🟧 专业解释

信息安全是指保护信息及信息系统的机密性、完整性、可用性、不可否认性和可审计性不受破坏或威胁。


🔺 2. CIA 三要素

(安全界最核心的价值模型)

🟦 通俗解释

  • C - 保密性:不能给坏人看
  • I - 完整性:不能被乱改
  • A - 可用性:随时能用不卡壳

例子:

场景 破坏的要素
黑客窃取数据库 保密性
篡改薪资变成 100 万 完整性
DDOS 导致网站瘫痪 可用性

🟧 专业解释

CIA 是安全策略制定与评估体系的根基。

任何攻击的目的均可归属于破坏 CI A 中的一个或多个安全属性。


🎭 3. 威胁(Threat)

🟦 通俗解释

威胁就是所有可能导致安全事故的潜在危险

可能来源于:

  • 人(黑客、内部员工)
  • 软件漏洞
  • 硬件故障
  • 自然灾害

例子:

手机忘锁屏 → 有人看你聊天记录 → 威胁变事故

🟧 专业解释

威胁是指存在破坏系统安全属性的能力与意图的行为或事件。


🪤 4. 漏洞(Vulnerability)

🟦 通俗解释

漏洞就是"缺陷"。

就像门锁坏了,别人容易进来。

例子:

  • 网站登录不验证输入 → 可被 SQL 注入
  • 管理后台弱密码 admin/admin
  • 操作系统未打补丁

🟧 专业解释

漏洞是系统中能够被威胁主体利用来破坏安全属性的缺陷或弱点。


🎯 威胁 + 漏洞 = 攻击风险

就像:

有坏人(威胁)

门锁坏(漏洞)

家就可能被盗(风险)


🧑‍💻 5. 攻击面(Attack Surface)

🟦 通俗解释

攻击面表示黑客能够触碰或利用的入口数量。

入口越多,被攻击的机会越大。

例如:

  • 对外开放的端口
  • 登录入口
  • 文件上传接口
  • 内网未上锁的共享文件

🟧 专业解释

攻击面是系统暴露给潜在攻击者的所有可利用点之总和,是风险评估重点。


🚪 6. 社会工程学(Social Engineering)

🟦 通俗解释

不是攻电脑,是攻"人"。
骗术 + 心理操控 + 信息收集 = 入侵成功

常见套路:

  • 钓鱼邮件
  • 冒充客服
  • 微信套话
  • 电话诈骗
  • "快递员让我点链接签收"

🟧 专业解释

利用人的弱点(信任、贪心、习惯等)诱导目标泄露信息或执行指令的攻击方法。


🎣 7. 钓鱼攻击(Phishing)

🟦 通俗解释

给你发一个看起来正常的网站链接,让你自己把账号密码送上门。

例子:

  • 假冒微信、支付宝登录页面
  • 伪装为"中奖""订单异常""系统更新"

🟧 专业解释

使用伪造信息诱导用户访问恶意链接或执行敏感操作,从而实现凭据窃取,常结合邮件、短信等渠道。


🎭 8. 社会工程数据库(SEDB)

🟦 通俗解释

网上泄露的手机号、身份证号、密码等信息,被黑客打包卖。

密码黑市 = 一切被泄露的隐私集合

常见来源:

  • 企业数据库被泄露
  • 用户多个网站使用同一密码
  • 黑客撞库整理形成

🟧 专业解释

来源于大型数据泄露或撞库结果的用户个人信息汇总库,是黑灰产攻击的核心资源。


🧱 9. 纵深防御(Defense in Depth)

🟦 通俗解释

像城堡一样一层层防护:

大门 → 护城河 → 士兵 → 城墙 → 数道门 → 地牢

就算一层被攻破,后面还有多层拦住黑客。

例子:

  • WAF + 防火墙 + 漏洞修补 + 权限管理 + 日志审计

🟧 专业解释

通过多层安全控制,建立多级缓冲,降低单点失效风险,是行业标准安全策略。


📌 小结表

概念 一句话理解
信息安全 防偷、防改、防坏、防瘫、防传播
CIA 给谁看、能不能改、能不能用
威胁 危险存在
漏洞 安全缺口
风险 事件可能发生的概率与影响
攻击面 黑客所有入口
社工攻击 攻人不攻机
钓鱼攻击 主动骗你交密码
SEDB 被泄露的成套用户信息
纵深防御 多层护城河

📘 下一篇安排

《第三篇:操作系统与权限类术语(权限、本地提权、RCE、Shell、Root 等全解析)》

相关推荐
泯泷10 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷10 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt5 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31113 天前
VPN 与内网穿透
安全
Mr_愚人派14 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao14 天前
【无标题】
人工智能·安全
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智14 天前
ARP代理--工作原理
运维·网络·arp·arp代理