REDTEAM
APT - 高级持久威胁网络攻击
- 使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常有民族或国家背景。
Attack signature - 攻击特征
- 一种特征性或独特性模式,可以帮助将一种攻击与另一种攻击联系起来,从而确定可能的参与者和解决方案。
DoS - 拒绝服务攻击
- 是一种网络攻击类型,通常会通过使服务超载请求来阻止信息系统服务或资源的授权使用或损害访问。
DDoS - 分布式拒绝服务攻击
- 主要利用大量傀儡电脑集中对一个或多个目标发动DDoS攻击,从而成倍地提高攻击的威力。
Phishing - 钓鱼攻击
- 钓鱼式攻击是指企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
Container escape - 容器逃逸
- 攻击者通过劫持容器化业务逻辑,或直接控制;攻击者利用这种命令执行能力,借助一些手段进一步获得该容器所在直接宿主机上某种权限下的命令执行。
Decryption - 解密
- 将编码文本解密为原始原始格式的过程。
Landscape attack - 横向攻击
- 当通过外部打点进入到目标内网时,需要利用现有的资源尝试获取更多的凭证与权限,进而达到控制整个内网、拥有最高权限、发动
APT
(高级持续性威胁攻击)等目地。
host of lateral - 主机横向
- 收集密码信息、通过rdp和ssh进行主机权限横向获取。
Remote code execution(RCE)- 远程代码执行
- 远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行系统命令。
Authentication - 认证方式
- 验证用户,进程或设备的身份或其他属性的过程。
CS
- CobaltStrike,红队最常用的后渗透软件
unsecured network - 无保障网络/不安全的网络
- 顾名思义,使用不安全无线网路或者没有安全设备防护的内网
0DAY漏洞/0DAY攻击
- 在网络安全中,
0DAY漏洞
通常是指还没有补丁的安全漏洞。而0DAY攻击
则指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day 漏洞的利用程序对网络安全具有巨大威胁,因此 0day 漏洞不但是黑客的最爱,掌握多少 0day 漏洞也成为评价黑客技术水平的一个重要参数。
POC(Proof of Concept) - 利用证明
POC
,Proof of Concept
,意思是利用证明
。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的漏洞介绍,使得读者能够确认这个漏洞是真实存在的
。
EXP(Exploit) - 漏洞利用
EXP,Exploit
中文意思是漏洞利用
。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码
,可以使得读者完全了解漏洞
的机理以及利用的方法
。
VUL(Vulnerability) - 漏洞
- VUL,
Vulnerability
的缩写,泛指漏洞。
CVE(Common Vulnerabilities & Exposures) - 漏洞编号
- CVE 的英文全称是
Common Vulnerabilities & Exposures
公共漏洞和暴露,CVE就好像是 一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
LOL
- Living Off The Land,常用于形容使用系统
自带
的命令进行回弹或横向等操作,也有 One Line 的含义
黑帽子
- 黑帽子,也可称为黑帽子黑客或黑客,一般指以非法目的、在未授权的情况下,进行网络攻击、破坏、窃取的人,通常是为了经济利益。他们进入安全网络以销毁、赎回、修改或窃取数据,或使网络无法用于授权用户。而早期的黑客一词更多指热心于计算机技术、水平高超的电脑高手,也指“黑客精神”。
扫描
扫描,依据不同扫描方式或不同扫描内容可以有多种理解。
- 网络扫描一般通过网络方式实现,是指对网络上的在用主机进行鉴识的过程.是进行网络安全评估或实施网络攻击的前提。网络扫描根据探测内容不同,可分为漏洞扫描、端口扫描、开放服务扫描、主机存活扫描等。
- 本地扫描,一般是指在操作系统中的扫描行为,是与网络扫描这种远程方式相对而言,本地扫描一般由主机上安装Agent实现扫描,根据不同探测内容,可分为配置基线扫描、补丁扫描、敏感信息扫描、DLP扫描等。
- 登录扫描,结合了网络扫描和本地扫描的特征,一般通过账号由网络远程登录到主机操作系统进行的扫描过程。
爬虫
- 爬虫,是网络爬虫的简称,又称为网页蜘蛛,是一种按照一定的规则,自动地抓取互联网上的各类信息的程序或者脚本。在网络安全领域,爬虫可以用作Web漏洞扫描的前期探测、也可以用于检测、识别暴露在互联网上的各类敏感信息
肉鸡
- 肉鸡,是指可以被黑客或攻击者远程控制的机器,可以是计算机、智能设备,也可以是各类网络设备。攻击者可以通过远程控制程序随意操纵它并利用它做任何事情。
挂马
- 挂马,是指把网页木马放入到被攻击的Web网站、网页文件里面的行为,或者是将恶意代码插入到网站正常的网页文件里,使正常的浏览用户中马的行为。
拿站
- 拿站,是指获取一个网站的最高权限,即拿到后台和管理员的帐号和密码。
挖洞
- 挖洞,一般是指通过技术手段发现、识别各类漏洞的过程或活动,也可理解为漏洞挖掘的简称。在业内,有一些白帽子也会说成挖SRC。
病毒
- 病毒,一般称计算机病毒,是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。在很多场景中,病毒与蠕虫、木马、后门程序没有严格区分。
蠕虫
- 蠕虫,一般称计算机蠕虫,是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它是利用网络进行复制和传播,传染途径也是多种多样,如网络、电子邮件、U盘等。
木马
- 木马,是特洛伊木马的简称,是一种表面无害的程序,它包含恶性逻辑程序,可导致未授权地收集、伪造或破坏数据,也可以用它控制另一台计算机,多数木马都具有隐藏性,不易被发现。而网管软件具有和木马相似的程序功能,但一般都不具有隐蔽性。
后门
- 后门,一般称后门程序,是指那些绕过安全性控制而获取对程序或系统访问权的程序或方法。后门有多种理解,在软件开发领域,程序员为便于修改程序设计中的缺陷而留的特定功能,也可理解为一种后门。在计算机系统中,某些软件提供某类特殊使用者通过某种特殊方式控制计算机系统的途径,也可理解为一种后门,这种场景中木马和后门没有严格区分。
勒索软件
- 勒索软件,是一种以勒索为目的的特定病毒程序,它通常以骚扰、恐吓甚至采用损坏计算机文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
代理
- 代理,一般为代理服务器的简称,攻击者通过第三方代理服务器访问目标系统,从而隐藏自己的真实网络IP地址,让别人无法查找到自己。动态IP代理可以实现IP地址的自动变化,能更好的绕过检测。代理种类多样,常见的有HPPT代理、Socket代理等。
跳板
- 跳板,是跳板技术的简称,它是指攻击者访问目标系统的路径中的多个节点,是攻击者保护自己,防止被发现或被反向追踪的常用手段。代理服务器是跳板之一,肉鸡也可以是跳板之一。
反弹端口
- 反弹端口,是木马软件常用到的技术,反弹是指从内部向外部主动连接的行为,这种方式解决了传统的远程控制软件不能穿透防火墙以及不能控制局域网内部计算机的问题。反弹Shell、反弹连接也是同理。
提权
- 提权,是权限提升的简称。一般为了安全性,在操作系统中会划分不同的帐户权限,攻击者利用各种漏洞或缺陷,将低权限帐户提升为高权限帐户的过程,称为提权,此过程利用的漏洞通常称为提权漏洞。除操作系统外,广义的理解各类应用系统也可以将普通帐户利用漏洞或缺陷提升为管理员级别帐户,也可称为提权。
横移
- 横移,是横向移动的简称。它是指攻击者使用非敏感帐户访问整个网络中的敏感帐户。攻击者在帐户、组和计算机中共享存储的登录凭据的网络中使用横向移动来识别敏感帐户和计算机并获取访问权限。横向移动的节点连接起来,形成横向移动路径。
嗅探
- 嗅探,一般称网络嗅探或嗅探攻击,是指对局域网中数据包进行截取及分析,从中获取有效信息的一种行为。
逃逸
- 逃逸,一般为虚拟机逃逸的简称,虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。在深度学习领域,也有一种逃逸攻击,是指攻击者在不改变目标机器学习系统的情况下,通过构造特定输入样本以完成欺骗目标系统的攻击。
重放
- 重放,一般称重放攻击或回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通信中都可能发生,是计算机世界黑客常用的攻击方式之一。
逆向
- 逆向,一般指逆向工程或逆向技术,是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析,其主要目的是在不能轻易获得必要的生产信息的情况下,直接从成品分析,推导出产品的设计原理。
破解
- 破解,在网络安全领域一般指破解软件的行为,是指研究软件的激活机制后,通过修改内存或者程序文件、或者写注册机程序,来达到免费使用该软件、或者突破其功能限制的目的的过程。常用到的工具如OD(OllyDBG)、WinHex等。
脱壳
- 脱壳,一般是指去掉软件所加的壳,即去掉专门负责保护软件不被非法修改或反编译的程序或代码。常见的脱壳工具如SoftICE、Loader、Peid、PEditor等。
免杀
- 免杀,通常是指通过加壳、加密、修改特征码、加花指令等技术手段,来修改程序使其逃过杀毒软件的查杀。
加壳
- 加壳,一般是指软件加壳,是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的技术手段。它是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变,如实现压缩、加密,以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX、ASPack、PePack等。
加花
- 加花,是指在代码中加入花指令。使机器指令混乱,使反汇编的时候出错,使破解者无法清楚正确地反汇编程序。花指令也称代码混淆,有可能利用各种汇编指令如JMP、CALL、RET,也可以适用不同语言,如Java代码混淆,JS代码混淆、iOS/Android代码混淆。
黑产
- 黑产,是网络黑色产业的简称,是指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。例如非法数据交易产业,盗号刷号洗钱等。
暗网
- 暗网,是指利用加密传输、P2P网络、多点中继混淆等方式,为用户提供匿名的互联网信息访问的一类技术手段,其最突出的特点就是匿名性。暗网也可以理解为一种提供黑产、灰产等非法交易的网络中介平台。
- 暗网用户主要以欧美为主,根据知道创宇发布的《2018年上半年暗网研究报告》,来自中国国内的访问量在每天数千人次,汉语网站占据0.75%。
- 目前暗网也是重要的威胁情报来源,存在有大量违法信息,除了相关监管部门研究外,国内安全服务商知道创宇就有“暗网雷达”对网络违法犯罪进行监控,舆情服务商沃民高科也有对暗网的情报大数据采集与处理系统。
僵尸网络
- 僵尸网络,也称Botnet,是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络是一个非常形象的比喻,众多的计算机在不知不觉中如同传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
Payload
- Payload中文称有效攻击载荷,是指漏洞利用(exploit)后,真正在目标系统执行的代码或指令,通常攻击载荷是附加于漏洞攻击模块之上,随漏洞攻击一起分发。在Metasploit Framework 模块中有一个Payload模块,该模块下有Single、Stager、Stages三种类型Payload,分别适用于不同场景。
Shellcode
- Shellcode可以是Payload的一种,也可以是利用Payload的一个场景,用于建立正向的、反向的shell代码。
CVSS
- CVSS英文全称是Common Vulnerability Scoring System,中文为通用漏洞评分系统,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。当前CVSS V3为最新标准。CVSS和CVE一同由美国国家漏洞库(简称NVD)发布并保持数据的更新。
CNVD
- CNVD是国家信息安全漏洞共享平台的英文简称,它是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。其收录的各类漏洞也被赋予CNVD编号。
- 国家信息安全漏洞共享平台的网址是:https://www.cnvd.org.cn/
社工
- 社工,一般指社会工程攻击的简称,是指利用“社会工程学”来实施的网络攻击的行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。社工的方法很多,常见的有钓鱼、电话诈骗、诱饵下套等。
欺骗
- 欺骗,可以理解为ARP欺骗,它是对路由器或三层交换机ARP表的欺骗,或者是对内网计算机的网关欺骗。另一种理解是IP欺骗,或叫IP地址伪造,是指行动产生的源IP地址通过篡改等技术手段伪造成非真实IP的数据包,以便冒充其他系统或发件人的身份。
中间人
- 中间人,一般指中间人攻击,即MITM攻击,英文全称Man-in-the-MiddleAttack。是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。一般常见的中间人攻击有ARP缓存中毒,DNS欺骗,会话劫持,ICMP重定向,端口窃取等。
劫持
- 劫持,一般也叫劫持攻击,劫持攻击有主动劫持,也有被动劫持。有时候根据劫持的方法不同,也可以是中间人攻击的一种表现形式。一般常见的劫持攻击有DNS劫持、HTTP会话劫持、点击劫持、TCP链路劫持、流量劫持等。
拖库
- 拖库,是指攻击者入侵网站或信息系统后,窃取数据库中全部数据信息或盗走整个数据库文件的行为,因为谐音业内也称作“脱裤”。
撞库
- 撞库,是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号或密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B的网站,这种帐号的尝试过程也可以理解为“撞库攻击”。
洗库
- 洗库,是指在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这一过程被称作“洗库”。
1 Day
- 1 Day一般理解为1 Day漏洞,指漏洞信息已公开,但仍未发布补丁的漏洞。此类漏洞的危害仍然较高,但往往官方会公布部分缓解措施,如关闭部分端口或者服务等。
N Day
- N Day一般理解为N Day漏洞,是指已经发布官方补丁的漏洞。通常情况下,此类漏洞的防护只需更新补丁即可,但由于多种原因,导致往往存在大量设备漏洞补丁更新不及时,且漏洞利用方式已经在互联网公开,往往此类漏洞是攻击者最常使用的漏洞。例如在永恒之蓝事件中,微软事先已经发布补丁,但仍有大量用户中招。
C2
- C2英文全称Command and Control,中文为命令和控制,常见于APT攻击场景中,作动词解释时,可理解为恶意软件与攻击者进行交互的行为;作名词解释时,可理解为攻击者发送控制命令的服务端、服务器等“基础设施”。
WebShell
- WebShell,是指以网页文件形式存在的一种命令执行环境,也可称是一种网页后门。黑客在入侵一个网站后,会将网页后门与网站服务器WEB目录下正常的网页文件混在一起,借用此Web网页的特定功能执行命令,达到控制网站服务器的目的。
GetShell
- GetShell,是指在入侵网站行为中获取WebShell的动作。GetShell的方式众多,常见如文件上传、SQL注入、命令执行、文件包含、解析漏洞等,有时候一个漏洞即可实现GetShell,有时候则需要各种漏洞打一套组合拳来实现。
CC
- CC,英文称Challenge Collapsar,中文称挑战黑洞,是DDoS攻击的一种类型之一,它使用代理服务器向受害服务器发送大量貌似合法的请求,最终造成服务器资源耗尽或宕机崩溃。当前网络中CC攻击多采用慢速CC攻击,更加难以防范。
RCE
- RCE,英文全称Remote Command/Code Execute,中文为远程命令执行/远程代码执行。常说的RCE漏洞是对远程命令执行/远程代码执行类漏洞的统称。这类漏洞因为可以通过网络远程执行命令或代码,可以直接获取一定权限,会造成较严重的影响,因此属于较高危的一类漏洞,一旦发现应立即修补。常见的Apache Sturcts2系列漏洞多属于RCE漏洞。
反序列化
- 反序列化,一般是指反序列化漏洞。序列化就是把对象转换成字节流,反序列化即逆过程,由字节流还原成对象。简单理解序列化是编码,反序列化是解码。如Java反序列化漏洞Apache Commons Collections中实现的一些类可以被反序列化用来实现任意代码执行。
注入
- 注入,可以理解为注入漏洞,也可理解为利用注入漏洞进行的攻击行为,即注入攻击。注入攻击的本质是把用户的输入当做代码来执行。注入攻击的种类很多,常见的包括SQL注入、XML注入、OS命令注入、ORM、LDAP注入、表达式语言(EL)或OGEL注入。
SQL注入
- SQL注入,一般是指攻击者构造特殊的SQL语句,由于输入参数未经过滤,直接拼接到后端SQL语句当中解析,达到对数据库非法操作的一种攻击方法。存在SQL注入漏洞的参数位置,常称为注入点。
旁注
- 旁注是一种入侵方法,在字面上解释就是从旁边注入,利用同一主机上面不同网站的漏洞进行攻击,最终实现对目标对象的攻击。
C段攻击
- C段攻击,也是类似旁注攻击的一种入侵思路,当目标对象没有可直接利用的漏洞,无法直接攻击时,对同一C网段的其他主机、网站进行攻击和控制,最终实现对目标对象的攻击。
XSS
- XSS英文全称Cross Site Scripting,中文为跨站脚本攻击,是一种注入攻击,当Web应用对用户输入过滤不严格时,攻击者通过巧妙的方法写入恶意指令代码(脚本)到网页中,如果用户访问了含有恶意代码的页面,用户浏览器解析、加载并执行恶意脚本导致用户被攻击。XSS一般可分为反射型XSS、存储型XSS、DOM型XSS三种。
CSRF
- CSRF英文全称Cross Site Request Forgery,中文为跨站站点请求伪造,简称跨站请求伪造。它是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟XSS相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
SSRF
- SSRF英文全称Server-Side Request Forgery,中文为服务端请求伪造,是一种由攻击者构造形成由服务端发起请求的一种安全漏洞,攻击者利用此漏洞作为跳板,可以攻击内部其他服务,达到在外网探测或攻击内网服务的目的。
XXE
- XXE英文全称XML External Entity Injection,中文为XML外部实体注入,攻击利用的焦距点是XML的DTD实体,可以利用其内部声明或外部引用来构造攻击,从而实现读取文件、执行系统命令、探测端口等目的。
暴力破解
- 暴力破解,简称爆破,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。这种方法在网络安全领域经常用于破解系统帐户和口令,也可称口令猜测攻击、口令穷举攻击,黑客对帐户的每一个可能口令按照口令字典进行自动验证,逐一尝试,直到获得有效的口令为止,从而获得对该帐户的控制权。预防口令猜测的最好方法是设置帐户错误的锁定策略。
密码喷洒
- 密码喷洒,是指采用特定的口令对不同的帐户进行猜测的行为,这种方法是为了避免帐户被锁定。因为针对同一个帐户的连续密码猜测会导致帐户被锁定,所以只有对所有帐户同时执行特定的口令尝试,才能增加破解的概率,消除帐户被锁定的概率。
鱼叉
- 鱼叉,是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉”。为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。
钓鲸
- 钓鲸,是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。
水坑
- 水坑,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
白帽子
- 白帽子,是白帽子黑客的简称,描述的是正面的黑客。他们同样利用黑客技术,识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是按照法律法规或一定规则下公布其漏洞。这样系统可以在被其他人(例如黑帽子)利用之前修补漏洞。在网络安全行业,有很多活跃于各大安全应急响应中心(SRC)的白帽子。
小马
- php小马也就是一句话木马,就是指只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。
大马
- 功能较全,支持各种在渗透过程中可能用到的各种功能的大型代码集合,通常具有文件管理、端口扫描、命令执行、数据库管理、反弹shell等等的功能
- GitHub:PHP马:https://github.com/tennc/webshell/tree/master/php
黑盒测试
- 黑盒测试,它是通过测试来检测每个功能是否都能正常使用。在测试中,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,在程序接口进行测试,它只检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息。黑盒测试着眼于程序外部结构,不考虑内部逻辑结构,主要针对软件界面和软件功能进行测试。
- 黑盒测试是以用户的角度,从输入数据与输出数据的对应关系出发进行测试的。
白盒测试
- 白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,即清楚盒子内部的东西以及里面是如何运作的。"白盒"法全面了解程序内部逻辑结构、对所有逻辑路径进行测试。"白盒"法是穷举路径测试。在使用这一方案时,测试者必须检查程序的内部结构,从检查程序的逻辑着手,得出测试数据。
CNNVD
- 负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。中国国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security ",简称"CNNVD"。
图片马
- 就是在图片中隐藏一句话木马。利用
.htaccess
解析图片为PHP或者asp文件。达到执行图片内代码目的。 制作方式
- cmd中
copy 1.php/b+1.jpg 2.jpg
- 16进制打开图片在末尾添加一句话木马。
- cmd中
漏洞扫描器
即针对系统漏洞的特征编写的识别验证工具。
- 内置漏洞库,对目标程序进行检测匹配,并对程序存在的漏洞进行分类和展示。
- 模拟一些人的自动化操作,来检测程序漏洞,例如:登录、上传、参数测试。
- 类似的漏洞扫描器,如:Awvs、Nessus、Goby、Xray等。
一句话木马
黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码:
<%execute request("value")%>
- 其中
value
是值,所以你可以更改自己的值,前面的request
就是获取这个值,<%eval request("value")%>
(现在比较多见的,而且字符少,对表单字数有限制的地方特别的实用) - 当知道了数据库的URL,就可以利用本地一张网页进行连接得到Webshell。(不知道数据库也可以,只要知道
<%eval request("value")%>
这个文件被插入到哪一个ASP文件里面就可以了。) - 这就被称为一句话木马,它是基于B/S结构的。
- 其中
SYN Flood
- SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。
失陷主机
- 失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机,在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其他主机;另外,失陷主机往往具有无规律性、高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击是否成功,但通过攻陷后的各种动作可以判断该主机已经被攻陷。
加盐
- 所谓简易密码加密,就是后台服务自己定义一些简单的加密方式,如:密码反着存、密码加前后缀、密码字符串中指定字符被替换等等。密码加盐里包含随机值和加密方式。随机值是电脑随机产生的,并且以随机的方式混在原始密码里面,然后按照加密方式生成一串字符串保存在服务器。换言之,这个是单向的,电脑也不知道客户的原始密码,即使知道加密方式,反向推出的加密前的字符串也是真正密码与随机值混合后的结果,从而无法解析用户的真正密码。
文件上传漏洞
- 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。
FINRST Flood
- TCP交互过程中还存在FIN和RST报文,FIN报文用来正常关闭TCP连接,RST报文用来异常断开TCP连接。这两种报文也可能会被攻击者利用来发起DDoS攻击,导致目标服务器资源耗尽,无法响应正常的请求。
供应链攻击
- 供应链攻击是一种面向软件开发人员和供应商的新兴威胁。 目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
TCP-LAND
- LAND攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
文件包含漏洞
- 随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校验或者校验被绕过就造成了文件包含漏洞。
UDP Flood
- UDP Flood攻击目前来说越来越普遍,得益于各种软件设计缺陷和UDP协议的无连接特性,这让UDP Flood攻击非常容易发起,并且可以得到数十倍数千倍的攻击放大。由于网站业务是用不到UDP协议的,所以UDP Flood攻击主要是针对游戏或者视频直播业务的。
未授权访问
- 未授权访问漏洞可以理解为 需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。
DNS Query Flood
- DNS Query攻击是最具备威胁的DDoS攻击方式之一,普遍存在于直播、游戏,私服,菠菜,AV等暴利,竞争不是你死就是我活的行业。这类攻击可以针对缓存服务器,也可以针对授权服务器。
虚拟IP池
- 虚拟ip 是指由总部指定总部空闲的一段ip 作为移动用户接入时的虚拟ip 池。当移动用户接入后,分配一个虚拟ip 给移动用户,移动用户对总部的任何操作都是以分配的ip 作为源ip、就完全和在总部局域网内一样。例如使用虚拟ip 的移动接入后,可以访问总部局域网内的任何一台计算机,即使该计算机没有把网管指向总部;可以为接入的移动用户指定dns 等网络属性。
Malware
- Malware即恶意软件。
- 恶意软件(俗称“流氓软件”)是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其它终端上安装运行,侵犯用户合法权益的软件或代码。简而言之,就是会造成不良后果的软件或代码。恶意软件可以隐藏在合法的软件应用程序或文件中,或者其作者可以将其伪装成用户不知不觉下载的看似无害的应用程序。
数据投毒
- 数据投毒攻击包括模型偏斜(Model skewing)、反馈武器化(Feedback weaponization)和模型后门(Backdoor)等。模型偏斜是指攻击者试图污染训练数据,来让模型对好坏输入的分类发生偏移,从而降低模型的准确率;反馈武器化是指将用户反馈系统武器化,来攻击合法用户和内容。一旦攻击者意识到模型利用了用户反馈对模型进行惩罚(penalization),他们就会基于此为自己谋利;模型后门是指通过训练得到的、深度神经网络中的隐藏模式,后门攻击是指当且仅当输人为触发样本(trigger)时,模型才会产生特定的隐藏行为,否则模型工作表现保持正常。
后渗透
- 后渗透主要包括权限维持、权限提升、内网渗透等。内网渗透:信息搜集、读取用户hash、浏览器密码、用Nday打其他服务等。 域渗透:获取域控的控制权。
持久化
- 持久化是指用webshell、反弹shell、后门、rootkit长期控制失陷机器的一种技术,可能会涉及到 dns隧道、http、icmp 隧道以及加密流量,从而达到一直控制失陷机器而不被发现。
TCP RST Flood
- TCP协议头部有一个标志位称为“RST”位,正常的数据包中该位为0,一旦该位设置为1,则接收该数据包的主机将立即断开TCP会话。TCP Reset攻击中,攻击者可以伪造TCP连接其中的一方给另一方发送带有RST位的包来断开TCP连接,但是要确保这个数据包的源IP地址、源端口号、目的IP地址、目的端口号、序列号等特征符合已有TCP连接的特征。
UDP Flood
- UDP协议与TCP协议不同, UDP是一个无连接协议。使用UDP协议传输数据之前,客户端和服务器之间不建立连接,UDP Flood属于带宽类攻击,黑客们通过僵尸网络向目标服务器发起大量的UDP报文,可以使用小数据包(64字节)进行攻击,也可以使用大数据包(大于1500字节,以太网MTU为1500字节)进行攻击。大量小数据包会增大网络设备处理数据包的压力;而对于大数据包,网络设备需要进行分片、重组,迅速造成链路拥塞。
点击劫持
- 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
肩窥
- 在计算机安全领域,肩窥”(shoulder surfing)是一种社会工程学技术,通过越过受害者的肩膀,获取个人识别码、密码等机密信息。未经授权的用户可以监视输入到设备上的按键,或者监听被输入的敏感信息,这也被称为窃听。
ACK FLOOD
ACK FLOOD攻击是利用TCP三次握手过程。这里可以分为两种。
- 第一种:攻击者伪造大量的SYN+ACK包发送给目标主机,目标主机每收到一个SYN+ACK数据包时,都会去自己的TCP连接表中查看有没有与ACK的发送者建立连接 ,如果有则发送ACK包完成TCP连接,如果没有则发送ACK+RST 断开连接。但是在查询过程中会消耗一定的cpu计算资源。如果瞬间收到大量的SYN+ACK数据包,将会消耗服务器的大量cpu资源,导致正常的连接无法建立或增加延迟,甚至造成服务器瘫痪、死机。
- 第二种:利用TCP三次握手的ACK+SYN应答,攻击者向不同的服务器发送大量的SYN请求,这些SYN请求数据包的源IP均为受害主机IP,这样就会有大量的SYN+ACK应答数据包发往受害主机,从而占用目标的网络带宽资源,形成拒绝服务。
SYN-ACK Flood
- SYN-ACK Flood攻击源会假冒服务器,发送大量SYN-ACK报文到攻击目标网络,如果网络出口有依靠会话转发的网络设备,比如防火墙、IPS等设备,则大量的SYN-ACK报文会导致这类网络设备处理性能降低,甚至会话耗尽。
- 对于服务器,如果都没有进行第一次握手就直接收到了第二次握手的报文,那么就会向对方发送RST报文,如果突然出现大量的SYN-ACK报文,服务器会忙于回复RST报文,导致资源耗尽,无法响应正常的请求。
DNSLog
- 当我们发现一个站点存在一个没有数据回显的注入点进行注入时,只能采取盲注,要么用逻辑法(布尔型),要么用延时法(时间注入),这种注入速度非常慢,需要一个一个字符推理猜解,而且很容易被网站BAN掉IP,虽然也可以使用代理IP池,但是还是需要一种快速有效的方法来获取数据。
- DNS 在解析的时候会留下日志,可以通过读取多级域名的解析日志来获取信息,即把信息放在多级的域名中,传递到我们指定的DNS服务器,然后在该服务器上读取DNS解析日志,便能够快速的获取数据,这就是DNSLog带外攻击,当然也可以在无回显的命令执行或者无回显的SSRF中利用。
- 常见的带外攻击利用平台有:DNSlog、cloundeye、Burp Collaborator client等。
模型萃取
- 模型萃取攻击(Model Extraction Attacks),也称为模型提取攻击,是一种攻击者通过循环发送数据并查看对应的响应结果,来推测机器学习模型的参数或功能,从而复制出一个功能相似甚至完全相同的机器学习模型的攻击方法。
成员推理
- 成员推理攻击(Membership Inference Attacks)是指给定数据记录和模型的黑盒访问权限,判断该记录是否在模型的训练数据集中。这个攻击的成立主要是基于这样一个观察结果:对于一个机器学习模型而言,其对训练集和非训练集的uncertainty 有明显差别,所以可以训练一个Attack model 来猜某样本是否存在于训练集中。
模型反演
- 模型反演攻击(Model Inversion Attack)是利用机器学习系统提供的一些API来获取模型的一些初步信息,并通过这些初步信息对模型进行逆向分析,获取模型内部的一些隐私数据。这种攻击和成员推理攻击的区别是,成员推理攻击是针对某一条单一的训练数据,而模型反演攻击则是倾向于取得某个程度的统计信息。
BLUETEAM
ransomware - 勒索软件
- 是一种流行的木马/恶意程序,通过大量漏洞获取主机权限后绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。
Cyber attack - 网络攻击
- 故意和恶意尝试通过网络手段破坏,破坏或访问计算机系统,网络或设备。
Cyber incident - 网络事件
- 试图获得对系统和/或数据的未授权访问。/未经授权使用系统来处理或存储数据。/未经系统所有者同意,更改系统的固件,软件或硬件。/ 恶意破坏和/或拒绝服务。
Cyber security - 网络安全
- 网络安全是一个集体术语,用于描述针对电子和计算机网络,程序和数据的保护,以防止恶意攻击和未经授权的访问。
Data breach - 数据泄露
- 未经授权的移动或泄露信息。
Data integrity - 数据完整性
- 完整,完整和可信的数据质量,未经未经授权或意外的方式修改或破坏的数据质量。
Data security - 数据安全
- 为保护机密数据并防止其被意外或故意泄露,破坏,破坏或破坏而采取的措施。
Behaviour monitoring - 行为监控
- 观察用户,信息系统和流程的活动。可用于根据组织政策和规则,正常活动的基准,阈值和趋势来衡量这些活动。
AV(Antivirus) - 防毒软件
- 防病毒软件,例如 360,火绒,卡巴斯基
Botnet - 僵尸网络
- 连接到Internet的受感染设备网络过去常常在所有者不知情的情况下进行协调的网络攻击。
Blue team - 蓝队
- 模拟网络安全攻击中的防御小组。蓝队在红队攻击时捍卫企业的信息系统。
Attacker - 攻击者
- 恶意攻击网络的角色。
行业
PA
- Palo Alto
CS
- CrowdStrike
处突
- 应急处理冲突
云 & 分布式 & 运维
AWS
- 亚马逊云
AAG
- 云领域内 Amazon、Azure、google 三家的简称
GCP - Google Cloud Platform
- 谷歌云
混合云
- 混合云是指一种由内部基础架构、私有云服务和公共云(例如Amazon Web Services (AWS) 或Microsoft Azure)组成,各平台之间按照编排运行的混合式计算、存储和服务环境。 混合云基础架构是指在数据中心中混合使用公共云、内部计算和私有云。
VPC - 私有云
- 私有云为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心的防火墙内,也可以将它们部署在一个安全的主机托管场所,私有云的核心属性是专有资源。
公有云
- 指第三方提供商为用户提供的能够使用的云,公有云一般可通过Internet 使用
Agent
- 常见于各类 CS 架构或分布式架构或云环境中,用于形容非管理端的单个节点
gVisor
- Google 开发的容器沙箱
AK - accesskey
- 一般指 云、API 中用于认证的密钥
ALTS
- 在容器层上构建了一套基础设施安全层
Borg
- Kubernetes的Google内部版,基本上都是基于容器、容器编排、在离线混部、资源统一调度等维度的技术。
KVM
- 一种虚拟化技术
QEMU
- 一种虚拟化技术
SLB
- 负载均衡,是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性。
ALB
- 应用型负载均衡,专门面向 HTTP、HTTPS 和 QUIC 等应用层负载场景的负载均衡服务,提供超强的业务处理性能,例如 HTTPS 卸载能力。单实例每秒查询数 QPS(Query Per Second)可达 100 万次。同时 ALB 提供基于内容的高级路由特性,例如基于 HTTP 报头、Cookie 和查询字符串进行转发、重定向和重写等,是阿里云官方云原生 Ingress 网关。
CLB
- 传统型负载均,是将访问流量根据转发策略分发到后端多台云服务器(ECS实例)的流量分发控制服务。支持TCP、UDP、HTTP和HTTPS协议,具备强大的四层处理能力,以及基础的七层处理能力。
SRE
- 运维服务高大上的一种形容。
DNAT
- 官方解释,公网 NAT 网关支持 DNAT 功能,将公网 NAT 网关上的公网 IP 通过端口映射或 IP 映射两种方式映射给 ECS 实例使用,使 ECS 实例能够对外提供公网访问服务。
EIP
- 弹性公网IP,是可以独立购买和持有的公网IP地址资源。目前,EIP 支持绑定到专有网络类型的 ECS 实例、专有网络类型的私网 SLB 实例、专有网络类型的辅助弹性网卡、NAT 网关和高可用虚拟 IP 上。
安全建设 & 认证 & 安全设备
NDR
- 网络检测和响应
EDR
- 端点保护,杀软的高端表达方式
SDL
- 安全开发流程
DMZ
- 非军事区,可以理解未内网和公网间的区域
WAF
- 网站防火墙,一种安全措施,实际上会以硬件型、软件型等多种方式体现
RBAC
- 基于角色的访问控制,是实施面向企业安全策略的一种有效的访问控制方式。 其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。 每一种角色对应一组相应的权限。 一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。
RASP
- 运行时应用自我保护,RSAP将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。
SOAR
- 自动化响应
TDR
- 威胁检测和响应
DevSecOps
- 一整套完善的开发+发现漏洞+修复漏洞+交付+开发+发现漏洞+修复漏洞+交付的不断循环的解决方案
SOA
- 把系统按照实际业务,拆分成刚刚好大小的、合适的、独立部署的模块,每个模块之间相互独立。
BeyondProd
- 谷歌的零信任方案
Radius
- 一种认证协议,常见于 wifi 计费、校园网
SGX - Intel SGX
- 一套CPU 指令,可支持应用创建安全区,保护选定的代码和数据不被泄露和修改。
2FA
- 双因素认证
可用性
- 可用性,是指已授权实体一旦需要就可以访问和使用的数据或资源的特性。也是在某个考察时间内,系统能够正常运行的概率或时间占有率期望值。
最小特权
- 最小特权,是最小化特定权限的简称。一般理解为主体的访问权限的最低限度,即仅执行授权活动所必需的那些权利。最小特权是安全的基本原则之一,是安全实践中较为有效的降低安全风险的措施。
访问控制
- 访问控制,是指一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问手段。访问控制的应用措施很多,常见的网络中有路由交换实现的访问控制(列)表ACL;应用系统中主体以及主体对客体的访问权操作类型的设置或限制,如:读、写、执行、添加、修改、删除与创建。
安全审计
- 安全审计,可以理解为产品功能,是指对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。也可以理解为是一种检查措施,往往是事后的一种发现问题、促进优化、改进提升的手段。
安全度量
- 安全度量,是指为了完成对一个或几个安全属性的测量,所定义的测量形式(测量方法、计算函数或分析模型)和尺度。安全度量往往会设计很多不同的度量指标,来反映对应某些安全属性的情况。
滑动标尺
- 滑动标尺,是网络安全滑动标尺模型的简称,英文全称为The Sliding Scale of Cyber Security。类似于信息安全CMMI能力成熟度模型,其将企业安全能力分五个阶段,分别是架构安全、被动防御、主动防御、威胁情报和反击威慑。
PDR
- PDR,是Protection、Detction、Response的简写,中文为保护、检测、响应,是最早的安全模型之一,早期的PDR是直线型的,还没有动态、循环的理念。PDR模型简洁精炼,抓住了安全的三个核心要素,是安全在一个特定时代的特征缩影。
PPDR
- PPDR,它是在PDR基础上,前面加上了一个Policy,也写作P2DR,意思是围绕安全策略,开展保护、检测和响应等安全工作,是PDR模型的一个升级版,同时由直线型升级成循环型,可见在当时是一种安全理解的进步。
PDRR
- PDRR,它也是在PDR基础上的一个升级版,为了突出强调入侵响应中的恢复动作,所以把响应分成了Response和Recovery,于是形成PDRR模型,即保护、检测、响应、恢复。PDR由三要素优化为四要素,可以看出不仅从安全视角看问题,也更多考虑业务视角,是安全理念发展的又一进步。
PPDRR
- PPDRR,是PPDR和PDRR的融合,它是动态的、自适应的安全模型之一,也是指导安全工作的一个典型参考模型。它包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)五个主要部分。
ASA
- ASA,英文全称Adaptive Security Architecture,中文称自适应安全架构,是由Gartner在2014年提出的安全体系,以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型。
CARTA
- CARTA,英文全称Continuous Adaptive Risk and Trust Assessment,中文称持续自适应风险和信任评估。2017年,Gartner创造性地提出了这一全新的战略方法,即CARTA,它是ASA的升级版,强调要持续地和自适应地对风险和信任两个要素进行评估。没有零风险,也没有100%信任,需要通过持续分析、动态适应来权衡风险和信任。
NTCTF
- NTCTF,英文全称NSA/CSS Technical Cyber Threat Framework,中文为美国国家安全局/中央安全局网络空间威胁框架,其中CTF是指网络威胁框架。它提供了一种通用语言,用于描述和交流有关网络威胁活动的信息。
TTPs
- TTPs,英文全称Tactics Techniques Procedures,中文为战术、技术和程序。它反映了攻击者的行为。
IOC
- IOC,英文全称Indicators of Compromise,中文为失陷指标,Mandiant于2010年正式定义了失陷指标(IOCs)。IOC生成是以结构化的方式记录事件的特征和证物的过程。它包含从主机和网络角度的所有内容,而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名,甚至是恶意软件网络协议签名。
钻石模型
- 钻石模型,英文全称The Diamond Model,是一个针对单个安全事件分析的模型,核心就是用来描述攻击者的技战术和目的。模型建立的基本元素是入侵活动事件,每个事件都有四个核心特征:对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系,并布置成菱形,因此得名“钻石模型”。
Kill-Chain
- Kill-Chain,亦写作Cyber-Kill-Chain,中文为网络攻击杀伤链。杀伤链源自军事领域,它是一个描述攻击环节的模型,理论上也可以用来预防此类攻击(即反杀伤链)。网络攻击杀伤链由洛克希德-马丁公司提出,用来描述针对性的分阶段攻击。杀伤链共有发现-定位-跟踪-瞄准-打击-达成目标六个环节,每一环节都是对攻击做出侦测和反应的机会。
ATT&CK
- 英文全称Adversarial Tactics, Techniques, and Common Knowledge,中文为对抗性的策略、技巧和常识。
- 它是由美国MITRE机构2013首次提出的一套攻击行为知识库模型和框架,它将已知攻击者行为转换为结构化列表,汇总成战术和技术,并通过若干个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
安全域
- 安全域,是指一种具有相同安全策略的资产和资源的集合,通过区域的划分,对不同区域能更好的执行不同的、针对性的安全防护策略。在安全建设早期及传统网络里,安全域都是安全策略的主要控制措施之一,随着云计算、虚拟化等技术的兴起,网络边界的泛化、模糊和不确定性增加,安全域逐步被淡化,但其思想依然有一定的指导意义。
微隔离
- 微隔离,是安全域理念的升级版,顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。
覆盖率
- 覆盖率,在安全建设初期一般指安全产品的部署覆盖的情况。对于网络类产品可以理解为部署区域、流量出口的覆盖比;对于主机类产品可以理解为主机操作系统安装Agent的覆盖比。覆盖率越高,说明安全产品的部署点遗漏的越少。
有效率
- 有效率,一般指安全规则正常运行的准确性,有效率越高,运行准确性越好。
检出率
- 检出率,一般指对攻击行为或非法操作的检测发现能力。
误报率
- 误报,是指检测系统运行过程中失误、错误的识别正常行为而报警的情况。误报率是说检测系统在正常工作时,一定时期内告警总量中的错误几率,误报率越低,说明系统检测深度越深、对攻击检测越精准。
漏报率
- 漏报,是指攻击或异常发生时,检测系统没有报警的情况。漏报率是说一定时期内在抽查的总告警量中漏报数所占的比例,漏报率越低,说明系统检测面越大,覆盖的检测范围越广。
MTTD
- MTTD,英文全称Mean Time To Detection,中文为平均检测时间。在网络安全领域,一般指攻击威胁被入侵检测系统、安全防护体系识别发现所需的时间长短。对于众多疑似攻击行为,平均检测出真正攻击的时间越短越好,即MTTD越小越好。
MTTR
- MTTR,在网络安全领域,第一种理解为平均响应时间,英文全称Mean Time To Response,一般指在安全事件的响应处理过程中,所用的响应时间长短。平均值越短,说明响应事件处置效率越高;另一种理解为平均修复时间,英文全称Mean Time To Repair,一般指在漏洞修复中需要的修补时间长短。平均修复时间越短,说明对软件漏洞的修复能力越强。
SRC
- SRC,英文全称Security Response Center,中文名为安全应急响应中心,主要职责:一是长期维持与外部白帽子的良好合作关系,二是组织安全众测活动和日常挖掘并收集组织存在的漏洞和其他安全隐患,三是发放漏洞赏金。
IRT
- IRT,英文全称Incident Response Team,中文称事件响应小组,是指由组织中具备适当技能且可信的成员组成的团队,负责在事件生存周期中处理事件。IRT在不同的组织中,通常也被称为CERT(计算机应急响应小组)和CSIRT(计算机安全事件响应小组)。
PSIRT
- PSIRT,英文全称Product Security Incident Response Team,中文为产品安全与应急响应团队,其主要职责是快速响应各类渠道获知的产品相关漏洞,同时遵守ISO/IEC 29147漏洞的披露规则,秉承负责任的态度,进行漏洞反馈、漏洞确认及验证、表示感谢发布公告,产品安全漏洞修复计划、补丁信息等信息。
SDL
- SDL,安全设计核心原则,将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。
开发 & 软件 & 协议
API
- 将需要经常传输、交换的数据流拆分、解耦成单独的接口,可以称为 API
Review
- 代码审计
CI/CD
- 持续集成、持续交付,常见的如 github action、Travis CI
DEMO
- 示例
MSSQL - Microsoft SQL Server
- Microsoft SQL Server 微软开发的一种数据库
Token
- 令牌,一般在各类加密过程中、认证过程、登录过程中会出现
Ticket
- 票据,一般在各类加密过程中、认证过程中会出现
SMS
- 短消息服务
SSH - Secure Shell
- SSH 是一种协议,我们常说的ssh登录一下更多的是指 ssh 的实际应用,比如 openssh 这个是相应的服务
RDP - Remote Desktop Protocol
- 远程桌面协议,windows 下的远程登录方式
SCP
- Service Control Policy
二进制
Buffer - 缓冲区
- 缓冲区可以更抽象地理解为一段可读写的内存区域。
Buffer overflow - 缓冲区溢出
- 缓冲区溢出是一种攻击方式,在内存中,由于程序在内存上是无法区分数据和代码,并且程序编写者并没有对数据进行检查,所以用户输入的数据恶意伪造就可以造成缓冲区溢出。
Stack overflow - 栈溢出
- 栈溢出是一种在栈内写入超出长度限制的数据,从而破坏程序控制结构甚至获得系统控制权的攻击手段。
Format string exploit - 格式化字符串漏洞
- 格式化字符串漏洞是由像printf(user_input)之类代码引起的,这里user_input变量的内容由用户提供。当攻击者恶意输入数据可能导致程序崩溃、泄露和修改内存。
Heap overflow - 堆溢出
- 堆溢出是程序编写者并没有对数据进行检查,从而导致攻击者恶意输入大量数据,导致数据越界,结果覆盖了别的数据,从而导致程序崩溃。
Use after free - 释放后引用
- 堆溢出攻击方式的一种,当一个内存块被释放之后再次被使用,由于程序内原来堆块存数据没有清空,恶意攻击者可以利用这些数据进行恶意攻击。
Double free - 双重释放
- 堆溢出攻击方式的一种,用户申请内存并释放后,指向这块内存的指针并没有清空,当攻击者恶意释放指针指向的内存两次,就会造成程序崩溃。
Memory leak - 内存泄露
- 内存泄漏是指程序中已动态分配的堆内存由于某种原因程序未释放或无法释放,造成系统内存的浪费,导致程序运行速度减慢甚至系统崩溃等严重后果。
Fuzz testing - 模式测试
- 模糊测试是一种测试方法,即构造一系列无规则的“恶意”数据插入应用程序,判断程序是否出现异常,以发现潜在的bug。
Dynamic binary instrumentation - 动态二进制插桩
- 插桩就是在已有的源代码/二进制程序中插入某些代码以便于自己分析,比如在调试时使用 printf 打印变量值就属于在源代码级别的插桩。
Integer overflow - 整数溢出
- 当程序中的数据超过其数据类型的范围,则会造成溢出,整数类型的溢出被称为整数溢出。
Escape Exploit - 逃逸漏洞
- 一般指虚拟机逃逸,指突破虚拟机的限制,实现与宿主操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意程序。
Shellcode - 程序可执行代码
- 程序可执行代码是我们写入到程序的一段可执行代码,通过执行这串代码我们可以拿到系统的shell。
Heap sprey - 堆喷射
- 堆喷射是在 shellcode 的前面加上大量的滑板指令,并注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。使得程序执行到堆上,最终将导致shellcode的执行。
Payload - 攻击有效载荷
- Payload可以是一段恶意构造的数据,利用这段数据可以使程序崩溃或者或者操作系统权限。
- 在
网络安全
领域中,负载指的是进行有害操作的部分,在程序中起关键作用的代码。例如:数据销毁
、执行恶意代码
等。
Elf patch - 二进制补丁
- 一般指直接修改二进制程序的机器码,使其执行或绕过指定的流程。