【干货】网络安全行业名词（下）

安全度量

安全审计 

安全域

暗网

白盒测试

白帽子

暴力破解 

成员推理

持久化 

处突

大马 

代理

点击劫持

钓鲸 

反弹端口

反序列化

访问控制

覆盖率

公有云 

供应链攻击

挂马

黑盒测试

黑帽子

横移，是横向移动的简称。它是指攻击者使用非敏感帐户访问整个网络中的敏感帐户。攻击者在帐户、组和计算机中共享存储的登录凭据的网络中使用横向移动来识别敏感帐户和计算机并获取访问权限。横向移动的节点连接起来，形成横向移动路径。

后门，一般称后门程序，是指那些绕过安全性控制而获取对程序或系统访问权的程序或方法。后门有多种理解，在软件开发领域，程序员为便于修改程序设计中的缺陷而留的特定功能，也可理解为一种后门。在计算机系统中，某些软件提供某类特殊使用者通过某种特殊方式控制计算机系统的途径，也可理解为一种后门，这种场景中木马和后门没有严格区分。

后渗透主要包括权限维持、权限提升、内网渗透等。内网渗透：信息搜集、读取用户hash、浏览器密码、用 Nday 打其他服务等。域渗透：获取域控的控制权。

滑动标尺，是网络安全滑动标尺模型的简称，英文全称为 The Sliding Scale of Cyber Security。类似于信息安全 CMMI 能力成熟度模型，其将企业安全能力分五个阶段，分别是架构安全、被动防御、主动防御、威胁情报和反击威慑。

混合云是指一种由内部基础架构、私有云服务和公共云（例如 Amazon Web Services (AWS) 或 Microsoft Azure）组成，各平台之间按照编排运行的混合式计算、存储和服务环境。 混合云基础架构是指在数据中心中混合使用公共云、内部计算和私有云。

加花，是指在代码中加入花指令。使机器指令混乱，使反汇编的时候出错，使破解者无法清楚正确地反汇编程序。花指令也称代码混淆，有可能利用各种汇编指令如 JMP、CALL、RET，也可以适用不同语言，如 Java 代码混淆，JS 代码混淆、iOS/Android 代码混淆。

加壳，一般是指软件加壳，是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的技术手段。它是利用特殊的算法，将 EXE 可执行程序或者 DLL 动态连接库文件的编码进行改变，如实现压缩、加密，以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。目前较常用的壳有 UPX、ASPack、PePack 等。

所谓简易密码加密，就是后台服务自己定义一些简单的加密方式，如：密码反着存、密码加前后缀、密码字符串中指定字符被替换等等。密码加盐里包含随机值和加密方式。随机值是电脑随机产生的，并且以随机的方式混在原始密码里面，然后按照加密方式生成一串字符串保存在服务器。换言之，这个是单向的，电脑也不知道客户的原始密码，即使知道加密方式，反向推出的加密前的字符串也是真正密码与随机值混合后的结果，从而无法解析用户的真正密码。

在计算机安全领域，肩窥(shoulder surfing)是一种社会工程学技术，通过越过受害者的肩膀，获取个人识别码、密码等机密信息。未经授权的用户可以监视输入到设备上的按键，或者监听被输入的敏感信息，这也被称为窃听。

检出率，一般指对攻击行为或非法操作的检测发现能力。

僵尸网络，也称 Botnet，是指采用一种或多种传播手段，将大量主机感染病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络是一个非常形象的比喻，众多的计算机在不知不觉中如同传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

劫持，一般也叫劫持攻击，劫持攻击有主动劫持，也有被动劫持。有时候根据劫持的方法不同，也可以是中间人攻击的一种表现形式。一般常见的劫持攻击有 DNS 劫持、HTTP 会话劫持、点击劫持、TCP 链路劫持、流量劫持等。

可用性，是指已授权实体一旦需要就可以访问和使用的数据或资源的特性。也是在某个考察时间内，系统能够正常运行的概率或时间占有率期望值。

勒索软件，是一种以勒索为目的的特定病毒程序，它通常以骚扰、恐吓甚至采用损坏计算机文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

漏报，是指攻击或异常发生时，检测系统没有报警的情况。漏报率是说一定时期内在抽查的总告警量中漏报数所占的比例，漏报率越低，说明系统检测面越大，覆盖的检测范围越广。

即针对系统漏洞的特征编写的识别验证工具。

1. 内置漏洞库，对目标程序进行检测匹配，并对程序存在的漏洞进行分类和展示。

2. 模拟一些人的自动化操作，来检测程序漏洞，例如：登录、上传、参数测试。

3. 类似的漏洞扫描器，如：Awvs、Nessus、Goby、Xray 等。

密码喷洒，是指采用特定的口令对不同的帐户进行猜测的行为，这种方法是为了避免帐户被锁定。因为针对同一个帐户的连续密码猜测会导致帐户被锁定，所以只有对所有帐户同时执行特定的口令尝试，才能增加破解的概率，消除帐户被锁定的概率。

免杀，通常是指通过加壳、加密、修改特征码、加花指令等技术手段，来修改程序使其逃过杀毒软件的查杀。

模型萃取攻击（Model Extraction Attacks），也称为模型提取攻击，是一种攻击者通过循环发送数据并查看对应的响应结果，来推测机器学习模型的参数或功能，从而复制出一个功能相似甚至完全相同的机器学习模型的攻击方法。

模型反演攻击（Model Inversion Attack）是利用机器学习系统提供的一些 API 来获取模型的一些初步信息，并通过这些初步信息对模型进行逆向分析，获取模型内部的一些隐私数据。这种攻击和成员推理攻击的区别是，成员推理攻击是针对某一条单一的训练数据，而模型反演攻击则是倾向于取得某个程度的统计信息。

木马，是特洛伊木马的简称，是一种表面无害的程序，它包含恶性逻辑程序，可导致未授权地收集、伪造或破坏数据，也可以用它控制另一台计算机，多数木马都具有隐藏性，不易被发现。而网管软件具有和木马相似的程序功能，但一般都不具有隐蔽性。

拿站，是指获取一个网站的最高权限，即拿到后台和管理员的帐号和密码。

逆向，一般指逆向工程或逆向技术，是一种产品设计技术再现过程，即对一项目标产品进行逆向分析及研究，从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素，以制作出功能相近，但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析，其主要目的是在不能轻易获得必要的生产信息的情况下，直接从成品分析，推导出产品的设计原理。

爬虫，是网络爬虫的简称，又称为网页蜘蛛，是一种按照一定的规则，自动地抓取互联网上的各类信息的程序或者脚本。在网络安全领域，爬虫可以用作 Web 漏洞扫描的前期探测、也可以用于检测、识别暴露在互联网上的各类敏感信息。

旁注是一种入侵方法，在字面上解释就是从旁边注入，利用同一主机上面不同网站的漏洞进行攻击，最终实现对目标对象的攻击。

破解，在网络安全领域一般指破解软件的行为，是指研究软件的激活机制后，通过修改内存或者程序文件、或者写注册机程序，来达到免费使用该软件、或者突破其功能限制的目的的过程。常用到的工具如 OD（OllyDBG）、WinHex 等。

欺骗，可以理解为 ARP 欺骗，它是对路由器或三层交换机 ARP 表的欺骗，或者是对内网计算机的网关欺骗。另一种理解是 IP 欺骗，或叫 IP 地址伪造，是指行动产生的源 IP 地址通过篡改等技术手段伪造成非真实 IP 的数据包，以便冒充其他系统或发件人的身份。

肉鸡，是指可以被黑客或攻击者远程控制的机器，可以是计算机、智能设备，也可以是各类网络设备。攻击者可以通过远程控制程序随意操纵它并利用它做任何事情。

蠕虫，一般称计算机蠕虫，是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它是利用网络进行复制和传播，传染途径也是多种多样，如网络、电子邮件、U 盘等。

扫描，依据不同扫描方式或不同扫描内容可以有多种理解。

网络扫描一般通过网络方式实现，是指对网络上的在用主机进行鉴识的过程．是进行网络安全评估或实施网络攻击的前提。网络扫描根据探测内容不同，可分为漏洞扫描、端口扫描、开放服务扫描、主机存活扫描等。

本地扫描，一般是指在操作系统中的扫描行为，是与网络扫描这种远程方式相对而言，本地扫描一般由主机上安装 Agent 实现扫描，根据不同探测内容，可分为配置基线扫描、补丁扫描、敏感信息扫描、DLP 扫描等。

登录扫描，结合了网络扫描和本地扫描的特征，一般通过账号由网络远程登录到主机操作系统进行的扫描过程。

社工，一般指社会工程攻击的简称，是指利用“社会工程学”来实施的网络攻击的行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。社工的方法很多，常见的有钓鱼、电话诈骗、诱饵下套等。

失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者可能以该主机为跳板继续攻击企业内网的其他主机；另外，失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认攻击是否成功，但通过攻陷后的各种动作可以判断该主机已经被攻陷。

数据投毒攻击包括模型偏斜（Model skewing）、反馈武器化（Feedback weaponization）和模型后门（Backdoor）等。模型偏斜是指攻击者试图污染训练数据，来让模型对好坏输入的分类发生偏移，从而降低模型的准确率；反馈武器化是指将用户反馈系统武器化，来攻击合法用户和内容。一旦攻击者意识到模型利用了用户反馈对模型进行惩罚(penalization)，他们就会基于此为自己谋利；模型后门是指通过训练得到的、深度神经网络中的隐藏模式，后门攻击是指当且仅当输人为触发样本(trigger)时，模型才会产生特定的隐藏行为，否则模型工作表现保持正常。

水坑，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

逃逸，一般为虚拟机逃逸的简称，虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件漏洞进行攻击，以达到攻击或控制虚拟机宿主操作系统的目的。在深度学习领域，也有一种逃逸攻击，是指攻击者在不改变目标机器学习系统的情况下，通过构造特定输入样本以完成欺骗目标系统的攻击。

提权，是权限提升的简称。一般为了安全性，在操作系统中会划分不同的帐户权限，攻击者利用各种漏洞或缺陷，将低权限帐户提升为高权限帐户的过程，称为提权，此过程利用的漏洞通常称为提权漏洞。除操作系统外，广义的理解各类应用系统也可以将普通帐户利用漏洞或缺陷提升为管理员级别帐户，也可称为提权。

跳板，是跳板技术的简称，它是指攻击者访问目标系统的路径中的多个节点，是攻击者保护自己，防止被发现或被反向追踪的常用手段。代理服务器是跳板之一，肉鸡也可以是跳板之一。

就是在图片中隐藏一句话木马。利用.htaccess 解析图片为 PHP 或者 asp 文件。达到执行图片内代码目的。

制作方式

cmd 中 copy 1.php/b+1.jpg 2.jpg

16 进制打开图片在末尾添加一句话木马。

拖库，是指攻击者入侵网站或信息系统后，窃取数据库中全部数据信息或盗走整个数据库文件的行为，因为谐音业内也称作“脱裤”。

脱壳，一般是指去掉软件所加的壳，即去掉专门负责保护软件不被非法修改或反编译的程序或代码。常见的脱壳工具如 SoftICE、Loader、Peid、PEditor 等。

挖洞，一般是指通过技术手段发现、识别各类漏洞的过程或活动，也可理解为漏洞挖掘的简称。在业内，有一些白帽子也会说成挖 SRC。

微隔离，是安全域理念的升级版，顾名思义是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。

未授权访问漏洞可以理解为 需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。

随着网站业务的需求，程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，但是正是这种灵活性通过动态变量的方式引入需要包含的文件时，用户对这个变量可控而且服务端又没有做合理的校验或者校验被绕过就造成了文件包含漏洞。

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。常见场景是 web 服务器允许用户上传图片或者普通文本文件保存，而用户绕过上传机制上传恶意代码并执行从而控制服务器。

误报，是指检测系统运行过程中失误、错误的识别正常行为而报警的情况。误报率是说检测系统在正常工作时，一定时期内告警总量中的错误几率，误报率越低，说明系统检测深度越深、对攻击检测越精准。

洗库，是指在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这一过程被称作“洗库”。

嗅探，一般称网络嗅探或嗅探攻击，是指对局域网中数据包进行截取及分析，从中获取有效信息的一种行为。

虚拟 ip 是指由总部指定总部空闲的一段 ip 作为移动用户接入时的虚拟 ip 池。当移动用户接入后，分配一个虚拟 ip 给移动用户，移动用户对总部的任何操作都是以分配的 ip 作为源 ip、就完全和在总部局域网内一样。例如使用虚拟 ip 的移动接入后，可以访问总部局域网内的任何一台计算机，即使该计算机没有把网管指向总部；可以为接入的移动用户指定 dns 等网络属性。

黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码： `<%execute request("value")%>`

其中`value`是值，所以你可以更改自己的值，前面的`request`就是获取这个值，`<%eval request("value")%>`(现在比较多见的，而且字符少，对表单字数有限制的地方特别的实用)当知道了数据库的 URL，就可以利用本地一张网页进行连接得到 Webshell。（不知道数据库也可以，只要知道`<%eval request("value")%>`这个文件被插入到哪一个 ASP 文件里面就可以了。）

这就被称为一句话木马，它是基于 B/S 结构的。

有效率，一般指安全规则正常运行的准确性，有效率越高，运行准确性越好。

鱼叉，是将用鱼叉捕鱼形象的引入到了网络攻击中，主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击，具有更高的成功可能性。不同于撒网式的网络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往“见鱼而使叉”。为了实现这一目标，攻击者将尝试在目标上收集尽可能多的信息。

中间人，一般指中间人攻击，即 MITM 攻击，英文全称 Man-in-the-MiddleAttack。是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。一般常见的中间人攻击有 ARP 缓存中毒，DNS 欺骗，会话劫持，ICMP 重定向，端口窃取等。

重放，一般称重放攻击或回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通信中都可能发生，是计算机世界黑客常用的攻击方式之一。

注入，可以理解为注入漏洞，也可理解为利用注入漏洞进行的攻击行为，即注入攻击。注入攻击的本质是把用户的输入当做代码来执行。注入攻击的种类很多，常见的包括 SQL 注入、XML 注入、OS 命令注入、ORM、LDAP 注入、表达式语言（EL）或 OGEL 注入。

撞库，是指黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号或密码，因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 的网站，这种帐号的尝试过程也可以理解为“撞库攻击”。

钻石模型，英文全称 The Diamond Model，是一个针对单个安全事件分析的模型，核心就是用来描述攻击者的技战术和目的。模型建立的基本元素是入侵活动事件，每个事件都有四个核心特征：对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系，并布置成菱形，因此得名“钻石模型”。

最小特权，是最小化特定权限的简称。一般理解为主体的访问权限的最低限度，即仅执行授权活动所必需的那些权利。最小特权是安全的基本原则之一，是安全实践中较为有效的降低安全风险的措施。