总字符数: 13.41K
代码: 0.60K, 文本: 10.29K
预计阅读时间: 47 分钟
代码审计
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方.
通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议
WEB框架
- 定义: Web框架是一种用于简化和加速Web应用程序开发的工具集,提供了一套结构和规则,使得开发者能够更容易地构建和维护Web应用.
- 功能: Web框架通常提供路由、模板引擎、数据库集成、会话管理等核心功能.它们为开发者提供了一种组织代码的方式,以便更轻松地处理HTTP请求和构建响应.
CMS
CMS是Content Management System的缩写,意为”内容管理系统”
- 定义: CMS是一种用于创建、编辑和管理网站内容的软件.它们通常提供了一个用户友好的界面,使非技术人员能够轻松地创建和更新网站内容,而无需深入了解编程.
- 功能: CMS包括内容编辑、版本控制、用户管理、权限控制等功能.它们的主要目标是简化网站内容的管理和更新.
黑页
一些计算机被入侵后,入侵者为了证明自己的存在,对网站主页(在服务器开放WEB服务的情况下)进行改写,从而公布入侵者留下的信息,这样的网页通常称为黑页
大马
功能强大的网页后门,能执行命令,操作文件,连接数据库
小马
比较单一的网页后门.一般就是上传保存大马.
一句话后门
一句话后门又称一句话木马.
指的是一段很小的网页代码后门,可以使用客户端连接,对网站控制.如中国菜刀
1 | @eval($_POST['a']) |
1 | <%eval request('a')%> |
拖库
拖库本来是数据库领域的术语.
指从数据库中导出数据.黑客入侵数据库后把数据库导出来
撞库
撞库攻击是黑客通过搜集在互联网上已泄露的用户和密码信息,然后生成一个包含这些信息的字典表.
攻击者随后使用这个字典表尝试在其他网站上进行批量登录,试图找到可以成功登录的用户账户.
注入
注入攻击就像是在系统中注入了病毒一样,是一种常见的网络安全漏洞.
想象一下,在网站上填写表单的时候,你输入一些信息,系统会根据你的输入执行相应的操作,比如搜索、登录等.而注入攻击就是通过巧妙的手法,在你的输入中夹带一些恶意代码,以绕过系统安全控制、窃取数据或破坏系统正常运行.
举个例子:假设你在一个网站上输入用户名和密码进行登录,系统会验证你的输入是否合法.而一个黑客可能会在用户名或密码的输入框中注入一些特殊的代码,让系统误以为他是合法用户,从而获取敏感信息.
注入攻击的危害:就像在输入框里注入了病毒一样,系统执行了不正常的操作.为了防范注入攻击,开发者需要编写安全的代码,确保用户输入的信息不会被误解成恶意代码.这样,系统就能更好地保护用户数据和系统安全.
注入点
注入点是指在程序中可以接受用户输入的地方,尤其是那些与数据库交互的地方,可能成为恶意用户实施注入攻击的入口.
旁站入侵
同一个服务器上有多个站点,可以通过入侵其中一个站点,可以通过提权跨目录访问其他站点
权限维持
权限
权限计算机用户对于文件及目录的建立,修改,删除以及对于某些服务的访问,程序的执行,是以权限的形式来严格区分的.
被赋予了相应的权限,就可以进行相应的操作,否则就不可以
肉鸡
所谓”肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,无关系统,无关用途.
我们可以像操作自己的电脑那样来操作它们,而不被对方察觉
木马
就是那些表面上伪装了正常的程序,但是当这些程序被运行时,就会获取系统的整个控制权限.
有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,CS,QUASAR等
远控
是在网络上由一台电脑(主控端Remote/客户端)远距离去控制另一台电脑(被控端Host/服务器端)的技术.
这里的远程不是字面意思的远距离,一般是指通过网络控制远端电脑
后门
这是一种形象的比喻,攻击者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置.
这些改动表面上是很难被察觉到的,但是攻击者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑.
就好像是攻击者偷偷的配了一把主人房间的钥匙,可以随时进出而不被主人发现一样,通常大多数的特洛伊木马(Trojan Horse)程序都可以被攻击者用于制作后门(BackDoor)
提权
顾名思义就是提高自己在服务器中的权限,就比如在windows中你本身登录的用户是guest(访客),然后通过提权后就变成了超级管理员,拥有了管理Windows的所有权限.
提权是黑客的专业名词,一般用于网站入侵和系统入侵中.
Rootkit
Rootkit是攻击者用来隐藏自己的行踪和保留根权限(相当于Windows下的system或管理员权限)的工具.
通常,攻击者通过远程攻击或密码猜解获得系统访问权限,然后再利用系统内的安全漏洞获取根权限.在获得根权限后,攻击者会安装Rootkit,以长期控制对方系统.
横向渗透
横向渗透(Lateral Movement)是指攻击者在已经入侵了一台或多台受害者主机之后,通过利用系统漏洞、弱口令等方式,向网络中其他同等级主机进行攻击,并在网络中横向移动,以获取更多的系统权限和敏感信息.
攻击者通常会使用恶意软件、后门程序等手段来进行横向渗透,以避免被系统安全软件和检测机制发现和拦截.
横向渗透对于攻击者而言非常重要,因为攻击者可以通过横向渗透在网络中获得更多的权限和敏感信息.
攻击者通过横向渗透可以访问其他主机上的文件、数据库、邮件等敏感信息,甚至可以获取系统管理员的权限,从而进一步深入系统,控制整个网络.
为了防范横向渗透攻击,组织可以采取一些安全措施,如加强系统安全配置、及时更新补丁、使用强口令、限制用户权限、使用安全软件等.
此外,组织还可以通过安全培训和意识提高等方式提高员工的安全意识,减少安全漏洞的发生.
纵向渗透
纵向渗透(Vertical Movement)是指攻击者在已经入侵了一台或多台受害者主机之后,通过利用系统漏洞或社交工程等手段,向网络中更高级别的主机或系统进行攻击,以获取更高级别的系统权限和敏感信息(一句话概括:提权或者拿主控机器).
攻击者通常会利用系统中的弱点和漏洞,来获取更高级别的权限和敏感信息,从而控制整个网络.
纵向渗透攻击通常是通过提升攻击者的权限来实现.
攻击者可能会从普通用户的权限提升到管理员的权限,然后再提升到系统管理员的权限,最终控制整个网络.
攻击者还可以通过利用社交工程等手段,获取高级别用户的账号和密码,从而进一步提升其权限.
纵向渗透攻击的危害性非常大,因为攻击者可以通过提升权限来控制更多的系统资源和敏感信息,从而对受害组织造成更大的损失.
为了防范纵向渗透攻击,组织可以采取一些安全措施,如限制用户权限、加强系统安全配置、使用强口令、定期修改密码等.
此外,组织还可以通过安全培训和意识提高等方式提高员工的安全意识,减少安全漏洞的发生.
同时,组织还应该定期进行安全漏洞扫描和漏洞修复,以及加强日志的监控和分析,及时发现和防范纵向渗透攻击.
人员安全
社会工程学
社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段,获取自身利益的手法.
黑客社会工程学攻击则是将黑客入侵攻击手段进行了最大化,不仅能够利用系统的弱点进行入侵,还能通过人性的弱点进行入侵,当黑客攻击与社会工程学攻击融为一体时,将根本不存在所谓安全的系统
社工库
社工库是黑客与数据方式进行结合的一种产物,黑客们将泄露的用户数据整合分析,然后集中归档的一个地方
网络钓鱼
网络钓鱼是一种利用欺骗性的电子邮件和伪造的网站来进行诈骗活动的手段.
攻击者通常会冒充合法机构或个人,诱使受害者提供个人敏感信息如信用卡号、账户用户名、密码和社保编号等.
这些信息可能被用于非法目的,如盗取财务资料、身份盗窃等.
捕鲸攻击
捕鲸是另一种进化形式的鱼叉式网络钓鱼.
它指的是针对高级管理员和组织内其他高级人员的网络钓鱼攻击
通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击
弱口令
弱口令:指那些强度不够,容易被猜解的,类似于123456,password,这样的口令(密码)
系统安全
端口扫描
端口扫描是指发送一组端口扫描信息,通过它了解到从哪里可以探寻到攻击弱点,并了解其提供的计算机网络服务类型,试图以入侵某台计算机
IPC$
IPC$是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用
默认共享
默认共享是指在Windows系统开启共享服务时,自动将所有硬盘进行共享.
这些默认共享使用了以”$“标志为特征,表示它们是隐含的.
默认共享包括所有逻辑盘(如C$, D$, E$等)和系统目录Winnt或Windows(admin$).因此,它们也被称为隐藏共享.
溢出
溢出:确切的讲,应该是”缓冲区溢出”.
简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令.
大致可以分为两类:
- 堆溢出
- 栈溢出
嗅探
嗅探是指在计算机网络中捕获数据信息.
由于支持每对通讯计算机独占通道的交互机/集线器昂贵,因此共享通讯道的嗅探通常是不可避免的.
共享意味着计算机可以接收到发送给其他计算机的信息.
因此,当计算机接收并捕获在网络中传输的数据信息时,就称为嗅探.
跳板
一个具有辅助作用的机器,利用这个主机作为一个间接工具,控制其他主机,一般和肉鸡连用
蠕虫病毒
它利用了Windows系统的开放性特点,特别是COM到COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能.
以VB脚本病毒为例:他们都是把VBS脚本文件加在附件中,使用*.HTM,VPS等欺骗性的文件名.
蠕虫病毒的主要特性有:自我复制能力、很强的传播性、潜伏性、特定的触发性、很大破坏性
恶意软件
被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序
间谍软件
一种能够在用户不知情的情况下,在其电脑、手机上安装后门,具备收集用户信息、监听、偷拍等功能的软件
反弹端口
有人发现,防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范.
于是,利用这一特性,反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端),就给人”被控制端主动连接控制端的假象,让人麻痹大意”
C2
C2全称为Command and Control 命令与控制,常见于APT攻击场景中.
作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的”基础设施”
Shell
指的是一种命令行环境,比如我们按下键盘上的”Win键+R”时出现”运行”对话框,在里面输入”cmd”会出现一个用于执行命令的黑窗口,这个Windows的Shell执行环境.
通常我们使用上传后的大马中那个用于执行系统命令的环境就是对方的Shell
交互式Shell
交互式模式就是Shell等待你的输入,并且执行你提交的命令.这种模式被称作交互式.因为Shell与用户进行交互.这种模式也是大多数用户非常熟悉的:登录、执行一些命令、签退.
当你签退后,Shell也就终止了
WebShell
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门.
黑客在拿下一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到网站服务器的目的.
可以上传下载文件,查看数据库,执行恶意程序命令.
免杀
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀
加壳
就是利用特殊的算法,将EXE可执行程序或者DLL动态链接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的.目前较常用的壳有UPX、ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等
花指令
就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造.通俗来说就是”杀毒软件是从头到脚按顺序来查找病毒,如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”
1 | push ebp # 把基址指针寄存器压入堆栈 |
可用性安全
拒绝服务攻击(DOS)
拒绝服务攻击(DOS)是 Denial of Service的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法正常服务.
最常见的DOS攻击有计算机网络宽带攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求
分布式拒绝服务攻击(DDOS)
分布式拒绝服务攻击(DDoS)是一种通过向目标系统发送大量无用的网络流量,以使目标系统无法正常处理合法流量的攻击方式.
这些攻击通常利用多个来源的计算机或设备来同时攻击目标系统,使得目标系统无法承受如此大量的流量而崩溃或变得不可用.
DDoS攻击可以采用多种方式进行,例如:UDP flood攻击、ICMP flood攻击、SYN flood攻击、HTTP flood攻击等.
攻击者通常通过僵尸网络(也称为“僵尸军团”或“僵尸网络”)控制大量的计算机或设备来发起攻击,这些计算机或设备被感染并被远程控制,成为攻击者的工具.
DDoS攻击的危害非常严重,它可以导致目标系统长时间不可用,给目标系统的正常运行带来很大的影响,甚至可能会造成重大的经济损失.
为了防止DDoS攻击,可以采取一系列的措施,例如:使用防火墙、入侵检测系统等安全设备,进行流量监控和分析,提高系统的抗攻击能力等
CC攻击
攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(Challenge Collapsar)
洪水攻击
是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的.
从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网络资源可以是router、switch、host、application等.
洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿.DDos攻击便是洪水攻击的一种
SYN 攻击
利用操作系统TCP协议设计上的问题执行的拒绝服务攻击,涉及TCP建立连接时三次握手的设计
软件安全
Shellcode
Shellcode:简单翻译:Shell代码,是Payload的一种,由于其建立正向/反向Shell而得名
软件加壳
“壳”是一段专门负责保护软件不被非法修改或反编译的程序.
它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务.
经过加壳的软件在跟踪时已看到其真实的十六进制代码,因此可以起到保护软件的目的
软件脱壳
顾名思义:就是利用相应的工具,把在软件”外面”起保护作用的”壳”程序去除,还原文件本来的面目,这样修改文件内容就会容易的很多
渗透测试
网络靶场
主要是指通过虚拟环境与真实设备相结合,模拟仿真出真实赛博网络空间攻防作战环境,能够支撑攻防演练、安全教育、网络空间作战能力研究和网路武器装备验证实验平台
黑盒测试
它是指在测试过程中,测试人员没有或只有很少的关于被测试系统的内部结构、工作原理和代码实现等信息.
测试人员只能通过系统对外部接口的输入和输出来判断系统是否存在安全漏洞.
黑盒测试通常是在测试人员不了解系统内部结构和源代码的情况下进行的,这种测试方法更加贴近于实际的攻击情况,因为攻击者通常也无法获得系统的内部信息.
黑盒测试可以模拟攻击者的行为来测试系统的安全性,包括但不限于输入验证、身份认证、访问控制、数据加密、会话管理、错误处理等方面.
黑盒测试可以帮助组织评估其系统的安全性,以及找出其中的弱点和漏洞,以便采取措施加以弥补.
同时,黑盒测试也可以帮助组织提高其系统的安全性,以保护系统中的敏感信息不被攻击者获取.
白盒测试
它是指在测试过程中,测试人员拥有被测试系统的内部结构、工作原理和代码实现等信息.
测试人员可以利用这些信息来测试系统是否存在安全漏洞.
白盒测试通常是在测试人员已经了解系统内部结构和源代码的情况下进行的,这种测试方法可以更加全面地检查系统的安全性.
白盒测试可以检查系统的代码实现是否符合安全标准和最佳实践,包括但不限于输入验证、身份认证、访问控制、数据加密、会话管理、错误处理等方面.
白盒测试可以帮助组织评估其系统的安全性,以及找出其中的弱点和漏洞,以便采取措施加以弥补.
同时,白盒测试也可以帮助组织提高其系统的安全性,以保护系统中的敏感信息不被攻击者获取.
白盒测试的优势在于可以发现一些黑盒测试无法发现的细节性问题,但它需要测试人员具备丰富的技术和经验.
灰盒测试
是一种介于黑盒测试和白盒测试之间的测试方法,它是指在测试过程中,测试人员有一定的关于被测试系统的内部结构、工作原理和代码实现等信息,但这些信息通常不够详细或完整.
测试人员可以利用这些信息来测试系统是否存在安全漏洞,同时也需要模拟攻击者的行为来测试系统的安全性.
灰盒测试通常是在测试人员了解系统的某些部分内部结构和源代码的情况下进行的,但测试人员通常无法完全了解系统的所有部分.
灰盒测试可以结合黑盒测试和白盒测试的优势,既可以测试系统的输入输出接口,又可以检查系统的代码实现是否符合安全标准和最佳实践.
同时,灰盒测试也可以模拟攻击者的行为来测试系统的安全性.
灰盒测试可以帮助组织评估其系统的安全性,以及找出其中的弱点和漏洞,以便采取措施加以弥补.
同时,灰盒测试也可以帮助组织提高其系统的安全性,以保护系统中的敏感信息不被攻击者获取.
灰盒测试需要测试人员具备丰富的技术和经验,以便在了解系统的一定部分内部结构和源代码的情况下,能够全面地测试系统的安全性.
漏扫
即漏洞扫描,指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为.
岗位术语
白帽黑客
白帽黑客就是真正的黑客,或者叫红客,探测网络中的软件或者系统的漏洞,并且把漏洞消息告诉网站管理员,不进行破坏性更改.
简单来说,是为了保障安全,修补漏洞
黑帽黑客
黑帽黑客就是大家通常所说的黑客,那种黑客其实真名叫骇客,他们是发现网络中的软件或者系统的漏洞后,对其进行破坏.
简单来说,是为了恶意破坏,属于非法行为
RedTeam(红队)
**红队专注于不同系统及其安全程序级别的渗透测试.**它们的存在是为了检测、预防和消除漏洞.
红队模仿可能袭击公司或组织的现实世界的攻击,并执行攻击者将使用的所有必要步骤.通过扮演攻击者的角色,他们向组织展示了哪些可能是对其网络安全构成威胁的后门或可利用漏洞.
一种常见的做法是聘请组织外部的人员进行红队 - 具备利用安全漏洞的知识但不了解组织基础架构中内置的防御措施的人员.
红队使用的技术多种多样,从针对员工和社会工程的标准网络钓鱼尝试到冒充员工以获取管理员访问权限.为了真正有效,红队需要了解攻击者将使用的所有策略、技术和程序.
红队提供了重要的好处,包括更好地了解可能的数据利用和预防未来的违规行为.通过模拟网络攻击和网络安全威胁,公司可以确保其安全性与适当的防御措施相提并论.
BlueTeam(蓝队)
蓝队类似于红队,因为它还评估网络安全并识别任何可能的漏洞.
但蓝队的不同之处在于,一旦红队模仿攻击者并以特有的战术和技术进行攻击,蓝队就会找到防御、改变和重组防御机制的方法,从而使事件响应更加强大.
与红队一样,蓝队也需要了解相同的恶意策略、技术和程序,以便围绕它们制定响应策略.蓝队活动并不是攻击所独有的.他们不断参与加强整个数字安全基础设施,使用像 IDS(入侵检测系统)这样的软件,为他们提供对异常和可疑活动的持续分析.
APT攻击
Advanced Persistent Threat,高级可持续性攻击,是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式(极强的隐蔽性、潜伏周期长、持续性强、目标性强)
ATT&CK
可以简单理解为描述攻击者技站术的知识库
MITRE在2013年推出了该模型,他是根据真实的观察数据来描述和分类对抗行为.
ATT&CK 将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示
安全产品
蜜罐
好比是情报收集系统.
蜜罐好像是故意让人攻击的目标,引诱黑客来攻击,所以攻击者攻击后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络.
UTM
即Unified Threat Management,中文名为统一威胁管理,最早由IDC于2014年提出,即将不同设备的安全能力(最早包括入侵检测、防火墙和反病毒技术),及集中在同一网关上,实现统一管理和运维
堡垒机
运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责
WAF
即Web应用防火墙(Web Application Firewall),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品
SOC
即Security Operations Center 翻译为安全运营中心或者安全管理平台.
通过建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统
上网行为管理
是指帮助互联网用户控制和管理对互联网使用的设备
其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等
规则库
网络安全的核心数据库,类似于黑名单,用于存储大量安全规则,一旦访问行为和规则库完成匹配,则被认为是非法行为.
所以有人也将规则库比喻为网络空间的法律
安全运营
安全运营
贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节,实行系统的管理方法和流程,将各个环节的安全防控作用有机结合,保障整个业务的安全性
应急响应
通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施
威胁情报
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议.
这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持.
根据使用对象的不同,威胁情报主要分为人读情报和机读情报
告警
指网络安全设备对攻击行为产生的警报
误报
也称无效告警,通常指告警错误,即把合法行为判断成非法行为而产生了告警.
目前,由于攻击技术的快速进步和检测技术的限制,误报的数量非常大,使得安全人员不得不花费大量时间来处理此类告警,已经成为困扰并拉低日常安全处置效率的主要原因
漏报
通常指网络安全设备没有检测出非法行为而没有产生告警.
一旦出现漏报,将大幅增加系统被入侵的风险
安全可视化
指在网络安全领域中的呈现技术,将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面,并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术
全流量检测
全流量主要体现在三个方面:全流量采集与保存、全行为分析和全流量回溯.
通过全流量分析设备,可以实现对网络中的全部流量进行采集与保存,并进行全面的行为分析以及全流量的回溯.同时,还可以提取网络元数据,并将其上传到大数据分析平台,以实现更加丰富的功能和分析.
态势感知
是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地
探针
又称网络安全探针或者安全探针.
可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上.
用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警.
网络空间测绘
用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备.
相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像.
零信任
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信.
而是默认不相信任何人、网络以及设备,采取动态认证和授权的方式,把访问者所带来的网络安全风险降到最低
供应链攻击
是黑客攻击目标机构的合作伙伴,并以该合作伙伴为跳板,达到渗透目标用户的目的.
一种常见的表现形式为:用户对厂商产品的信任,在厂商产品下载安装或者更新时进行恶意软件植入进行攻击.
所以,在某些软件下载平台下载的时候,如果遭遇捆绑软件就要小心了
Payload
中文’有效载荷’,指成功ExpLoit之后,真正的目标系统执行的代码或指令
EXP/Exploit
漏洞利用代码,运行之后对目标进行攻击
POC/Proof of Concept
漏洞验证代码,检测目标是否存在对应漏洞
0DAY/1DAY/Nday
0day:漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷.因为该漏洞未知,所以没有可用的补丁程序
1day:1day刚发布,但是已被发现官方刚发布补丁网络还大量存在的Vulnerability.
Nday: Nady已经被公布出来的0day
CVE
全称Common Vulnerablilitites and Exposures,由于安全机构Mitre维护一个国际通用的漏洞唯一编号方案,已经被安全业界广泛接受的标准
CNVD
国家信息安全漏洞共享平台,简称CNVD,国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库.
主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力,带到国内相关安全产品的发展
暗网
“暗网”是指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录.
暗网是利用加密传输、P2P对等网络、多点中继混淆等,为用户提供匿名的互联网信息访问的一类技术手段,其最突出的特点就是匿名性
黑产
指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为.
例如非法数据交易产业
元数据
元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(Property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能
数据脱敏
数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护,主要用于数据的共享和交易等涉及大范围数据流动的场景
本文由 kill3r 原创,采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
