网络空间安全之一个WH的超前沿全栈技术深入学习之路(2-1):渗透测试行业术语扫盲)作者——LJS

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
应用实时监控服务ARMS - 应用监控,每月50GB免费额度
可观测可视化 Grafana 版,10个用户账号 1个月
简介: 网络空间安全之一个WH的超前沿全栈技术深入学习之路(2-1):渗透测试行业术语扫盲)作者——LJS

欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习



专栏跑道二

➡️ 24 Network Security -LJS



专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP;H3C-SE;CCIP——LJS[华为、华三、思科高级网络]



专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]

image.png


专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]


专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]



上节回顾



 61. EXP/ Exploit

  • 漏洞利用代码,运行之后对目标进行攻击。

62. POC/ Proof of Concept

  • 漏洞验证代码,检测目标是否存在对应漏洞

63. Payload

  • 中文 ' 有效载荷 ',指成功 exploit 之后,真正在目标系统执行的代码或指令。

64. Shellcode

  • Shellcode:简单翻译 ' shell 代码 ',是 Payload 的一种,由于其建立正向/反向 shell
    而得名。
  • image.gif 编辑

65. 软件加壳

  • “壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先
    于程序运行,拿到控制权,然后完成它们保护软件的任务。经过加壳的软件在跟
    踪时已看到其真实的十六进制代码,因此可以起到保护软件的目的。

66. 软件脱壳

  • 顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去
    除,还文件本来面目,这样再修改文件内容就容易多了。

67. 蠕虫病毒

  • 它利用了 WINDOWS 系统的开放性特点,特别是 COM 到 COM+的组件编程思
    路,一个脚本程序能调用功能更大的组件来完成自己的功能。以 VB 脚本病毒为
    例,它们都是把 VBS 脚本文件加在附件中,使用*.HTM,VBS 等欺骗性的文件
    名。
  • 蠕虫病毒的主要特性有:
  • 自我复制能力、很强的传播性、潜伏性、特定的 触
    发性、很大的破坏性。

68. LAN

  • 局域网!一种网络,连接近距离的计算机,一般位于单个房间、建筑物或小的地
    理区域里。LAN 上的所有系统位于一个网络跳之间。

69. Proxy

  • 代理。一类程序或系统,接收来自客户机算计的流量,并代表客户与服务器交互。
    代理能用于过滤应用级别的制定类型的流量或缓存信息以提高性能。许多防火墙
    依赖代理进行过滤

70. HTML

  • 超文本标记语言(英语:HyperText Markup Language,简称:HTML)是一种用
    于创建网页的标准标记语言。
  • 可以使用 HTML 来建立自己的 WEB 站点,HTML 运行在浏览器上,由浏
    览器来解析。
  • image.gif 编辑

image.gif 编辑

71. CSS 层叠样式表

  • 层叠样式表(英文全称:Cascading Style Sheets)是一种用来表现 HTML(标准通用
    标记语言的一个应用)或 XML(标准通用标记语言的一个子集)等文件样式的
    计算机语言。
  • CSS 不仅可以静态地修饰网页,还可以配合各种脚本语言动态地对
    网页各元素进行格式化 image.gif 编辑

72. JavaScript

  • 是一种属于网络的高级脚本语言,已经被广泛用于 Web 应用开发,常用
    来为网页添加各式各样的动态功能,为用户提供更流畅美观的浏览效果。
  • 通常
    JavaScript 脚本是通过嵌入在 HTML 中来实现自身的功能的。 image.gif 编辑

73. CMS

  • CMS 是 Content Management System 的缩写,意为"内容管理系统"。 image.gif 编辑

74. 独立服务器

  • 独立服务器整体硬件都是独立的,性能强大,特别是 CPU,被认为是性能最佳
    的托管选项之一。使用真实存在的独立服务器就像拥有自己的房子,没有人打扰,
    可以部署任何想要的东西。

75. VPS

  • VPS 主机是一项服务器虚拟化和自动化技术,它采用的是操作系统虚拟化技术。
    操作系统虚拟化的概念是基于共用操作系统内核,这样虚拟服务器就无需额外的
    虚拟化内核的过程,因而虚拟过程资源损耗就更低,从而可以在一台物理服务器
    上实现更多的虚拟化服务器。
  • 这些 VPS 主机以最大化的效率共享硬件、软件许
    可证以及管理资源。
  • 每一个 VPS 主机均可独立进行重启,并拥有自己的 root 访
    问权限、用户、IP 地址、内存、过程、文件、应用程序、系统函数库以及配置
    文件。

76. 域名

  • 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的 Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)

77. CTF (夺旗赛)

  • CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安
    全技术人员之间进行技术竞技的一种比赛形式。

78. awd 攻防对抗赛

  • AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在
    一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻
    击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主
    机不被别人得分,以防扣分。

79. cve

  • CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露

80. CNVD

  • 国家信息安全漏洞共享平台,简称 CNVD,国家计算机网络应急技术处理协调中
    心联合建立的信息安全漏洞信息共享知识库。
  • 主要目标提升我国在安全漏洞方面
    的整体研究水平和及时预防能力,带动国内相关安全产品的发展。

image.gif 编辑

81. 0day

  • 0day 漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞
    未知,所以没有可用的补丁程序。

82. 1day

  • 1day 刚发布 但是已被发现官方刚发布补丁网络上还大量存在的 Vulnerability。

83. Nday

  • Nday 已经被公布出来的 0day。

84. APT 攻击

  • Advanced Persistent Threat,高级可持续性攻击,是指组织(特别是政府)或者小
    团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式(极强
    的隐蔽性、潜伏期长,持续性强、目标性强)

85. 渗透测试

  • 渗透测试:黑盒测试、白盒测试、灰盒测试

86. 暗网

  • “暗网”是指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些
    特定的软件、配置或者授权等才能登录。一般用 tor 洋葱浏览器进入。
  • 暗网是利用加密传输、P2P 对等网络、多点中继混淆等,为用户提供匿名的互联网信息
    访问的一类技术手段,其最突出的特点就是匿名性。

87. 恶意软件

  • 被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。

88. 间谍软件

  • 一种能够在用户不知情的情况下,在其电脑、手机上安装后门,具备收集用户
    信息、监听、偷拍等功能的软件。

89. 洪水攻击

  • 是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御
    的。
  • 从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网
    络资源可以是 router,switch,host,application 等。
  • 洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿。DDoS 攻击便是洪水攻击的一种。

90. SYN 攻击

  • 利用操作系统 TCP 协议设计上的问题执行的拒绝服务攻击,涉及 TCP 建立连接时三次握手的设计。

image.gif 编辑

91. DoS 攻击

  • 拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网
    络或者网站无法被访问。

92. DDoS

  • 分布式 DOS 攻击,常见的 UDP、SYN、反射放大攻击等等,就是通过许多台肉鸡
    一起向你发送一些网络请求信息,导致你的网络堵塞而不能正常上网。

93. 抓鸡

  • 即设法控制电脑,将其沦为肉鸡。

94. 端口扫描

  • 端口扫描是指发送一组端口扫描消息,通过它了解到从哪里可探寻到攻击弱点,
    并了解其提供的计算机网络服务类型,试图以此侵入某台计算机。

95. 反弹端口

  • 有人发现,防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的
    连接却疏于防范。
  • 于是,利用这一特性,反弹端口型软件的服务端(被控制端)会
    主动连接客户端(控制端),就给人“被控制端主动连接控制端的假象,让人麻痹
    大意。

96. 鱼叉攻击

  • 鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电
    子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。
    不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而
    使叉”。
  • 为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。通常,组织内
    的特定个人存在某些安全漏洞。

97. 钓鲸攻击

  • 捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内
    其他高级人员的网络钓鱼攻击。

  • 通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。

98. 水坑攻击

  • 顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。
  • 最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的
    网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就
    会“中招”。

99. C2

  • C2 全称为 Command and Control,命令与控制,常见于 APT 攻击场景中。作动
    词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基
    础设施”。

100. 供应链攻击

  • 是黑客攻击目标机构的合作伙伴,并以该合作伙为跳板,达到渗透目标用户的目
    的。
  • 一种常见的表现形式为,用户对厂商产品的信任,在厂商产品下载安装或者
    更新时进行恶意软件植入进行攻击。
  • 所以,在某些软件下载平台下载的时候,若遭遇捆绑软件,就得小心了!

image.gif 编辑

101. 渗透

  • 就是通过扫描检测你的网络设备及系统有没有安全漏洞,有的话就可能被入侵,
    就像一滴水透过一块有漏洞的木板,渗透成功就是系统被入侵。

102. 横移

  • 指攻击者入侵后,从立足点在内部网络进行拓展,搜寻控制更多的系统。

103. 暗链

  • 看不见的网站链接,“暗链”在网站中的链接做得非常隐蔽,短时间内不易被搜
    索引擎察觉。
  • 它和友情链接有相似之处,可以有效地提高网站权重。

104. 暴库

  • 入侵网站的一种手法,通过恶意代码让网站爆出其一些敏感数据来。

105. 薅羊毛

  • 指网赚一族利用各种网络金融产品或红包活动推广下线抽成赚钱,又泛指搜集
    各个银行等金融机构及各类商家的优惠信息,以此实现盈利的目的。
  • 这类行为就被称之为薅羊毛。

106. 商业电子邮件攻击(BEC)

  • 也被称为“变脸诈骗”攻击,这是针对高层管理人员的攻击,攻击者通常冒充(盗
    用)决策者的邮件,来下达与资金、利益相关的指令;
  • 或者攻击者依赖社会工程学制作电子邮件,说服/诱导高管短时间进行经济交易。

107. 电信诈骗

  • 是指通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、
    非接触式诈骗,诱使受害人打款或转账的犯罪行为
  • 通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。

108. 杀猪盘

  • 网络流行词,电信诈骗的一种,是一种网络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。

109. 黑产

  • 网络黑产,指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。
  • 例如非法数据交易产业。

110. 黑帽黑客

  • 以非法目的进行黑客攻击的人,通常是为了经济利益。他们进入安全网络以销毁、
    赎回、修改或窃取数据,或使网络无法用于授权用户。
  • 这个名字来源于这样一个历史:老式的黑白西部电影中,恶棍很容易被电影观众
    识别,因为他们戴着黑帽子,而“好人”则戴着白帽子。

image.gif 编辑

111. 白帽黑客

  • 是那些用自己的黑客技术来进行合法的安全测试分析的黑客,测试网络和系统的性能来判定它们能够承受入侵的强弱程度。

112. 红帽黑客

  • 事实上最为人所接受的说法叫红客。
  • 红帽黑客以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取
    为精神支柱,红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来
    的进攻进行还击。

113.

  • 通常指攻防演习中的攻击队伍。

114.

  • 通常指攻防演习中的防守队伍。

115.

  • 攻防演习中新近诞生的一方,通常指监理方或者裁判方。

116. 加密机

  • 主机加密设备,加密机和主机之间使用 TCP/IP 协议通信,所以加密机对主机的
    类型和主机操作系统无任何特殊的要求。

117. CA 证书

  • 为实现双方安全通信提供了电子认证。
  • 在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。
    数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的
    真伪实现对证书持有者身份的认证。

118. SSL 证书

  • SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。
    因为配置在服务器上,也称为 SSL 服务器证书。

119. 防火墙

  • 主要部署于不同网络或网络安全域之间的出口,通过监测、限制、更改跨越防火
    墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地
    接受外部访问。

120. IDS

  • 入侵检测系统,用于在黑客发起进攻或是发起进攻之前检测到攻击,并加以拦截。
    IDS 是不同于防火墙。防火墙只能屏蔽入侵,而 IDS 却可以在入侵发生以前,通
    过一些信息来检测到即将发生的攻击或是入侵并作出反应。



    相关文章
    |
    3天前
    |
    弹性计算 双11 开发者
    阿里云ECS“99套餐”再升级!双11一站式满足全年算力需求
    11月1日,阿里云弹性计算ECS双11活动全面开启,在延续火爆的云服务器“99套餐”外,CPU、GPU及容器等算力产品均迎来了全年最低价。同时,阿里云全新推出简捷版控制台ECS Lite及专属宝塔面板,大幅降低企业和开发者使用ECS云服务器门槛。
    |
    21天前
    |
    存储 弹性计算 人工智能
    阿里云弹性计算_通用计算专场精华概览 | 2024云栖大会回顾
    阿里云弹性计算产品线、存储产品线产品负责人Alex Chen(陈起鲲)及团队内多位专家,和中国电子技术标准化研究院云计算标准负责人陈行、北京望石智慧科技有限公司首席架构师王晓满两位嘉宾,一同带来了题为《通用计算新品发布与行业实践》的专场Session。本次专场内容包括阿里云弹性计算全新发布的产品家族、阿里云第 9 代 ECS 企业级实例、CIPU 2.0技术解读、E-HPC+超算融合、倚天云原生算力解析等内容,并发布了国内首个云超算国家标准。
    阿里云弹性计算_通用计算专场精华概览 | 2024云栖大会回顾
    |
    3天前
    |
    人工智能 弹性计算 文字识别
    基于阿里云文档智能和RAG快速构建企业"第二大脑"
    在数字化转型的背景下,企业面临海量文档管理的挑战。传统的文档管理方式效率低下,难以满足业务需求。阿里云推出的文档智能(Document Mind)与检索增强生成(RAG)技术,通过自动化解析和智能检索,极大地提升了文档管理的效率和信息利用的价值。本文介绍了如何利用阿里云的解决方案,快速构建企业专属的“第二大脑”,助力企业在竞争中占据优势。
    |
    1天前
    |
    人工智能 自然语言处理 安全
    创新不设限,灵码赋新能:通义灵码新功能深度评测
    自从2023年通义灵码发布以来,这款基于阿里云通义大模型的AI编码助手迅速成为开发者心中的“明星产品”。它不仅为个人开发者提供强大支持,还帮助企业团队提升研发效率,推动软件开发行业的创新发展。本文将深入探讨通义灵码最新版本的三大新功能:@workspace、@terminal 和 #team docs,分享这些功能如何在实际工作中提高效率的具体案例。
    |
    7天前
    |
    负载均衡 算法 网络安全
    阿里云WoSign SSL证书申请指南_沃通SSL技术文档
    阿里云平台WoSign品牌SSL证书是由阿里云合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品,用户在阿里云平台https://www.aliyun.com/product/cas 可直接下单购买WoSign SSL证书,快捷部署到阿里云产品中。
    1850 6
    阿里云WoSign SSL证书申请指南_沃通SSL技术文档
    |
    10天前
    |
    Web App开发 算法 安全
    什么是阿里云WoSign SSL证书?_沃通SSL技术文档
    WoSign品牌SSL证书由阿里云平台SSL证书合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品。
    1789 2
    |
    19天前
    |
    编解码 Java 程序员
    写代码还有专业的编程显示器?
    写代码已经十个年头了, 一直都是习惯直接用一台Mac电脑写代码 偶尔接一个显示器, 但是可能因为公司配的显示器不怎么样, 还要接转接头 搞得桌面杂乱无章,分辨率也低,感觉屏幕还是Mac自带的看着舒服
    |
    26天前
    |
    存储 人工智能 缓存
    AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片
    本案例介绍如何利用AI助理快速实现OSS存储的图片接入CDN,以加速图片访问。通过AI助理提炼关键操作步骤,避免在复杂文档中寻找解决方案。主要步骤包括开通CDN、添加加速域名、配置CNAME等。实测显示,接入CDN后图片加载时间显著缩短,验证了加速效果。此方法大幅提高了操作效率,降低了学习成本。
    5386 15
    |
    13天前
    |
    人工智能 关系型数据库 Serverless
    1024,致开发者们——希望和你一起用技术人独有的方式,庆祝你的主场
    阿里云开发者社区推出“1024·云上见”程序员节专题活动,包括云上实操、开发者测评和征文三个分会场,提供14个实操活动、3个解决方案、3 个产品方案的测评及征文比赛,旨在帮助开发者提升技能、分享经验,共筑技术梦想。
    1139 152
    |
    21天前
    |
    存储 缓存 关系型数据库
    MySQL事务日志-Redo Log工作原理分析
    事务的隔离性和原子性分别通过锁和事务日志实现,而持久性则依赖于事务日志中的`Redo Log`。在MySQL中,`Redo Log`确保已提交事务的数据能持久保存,即使系统崩溃也能通过重做日志恢复数据。其工作原理是记录数据在内存中的更改,待事务提交时写入磁盘。此外,`Redo Log`采用简单的物理日志格式和高效的顺序IO,确保快速提交。通过不同的落盘策略,可在性能和安全性之间做出权衡。
    1585 14

    热门文章

    最新文章