渗透测试专业名词解释

最新推荐文章于 2025-08-26 17:32:31 发布
原创 最新推荐文章于 2025-08-26 17:32:31 发布 · 1.3k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #网络安全 #渗透测试

今天主要对渗透测试中的专业名词进行解释,POC/EXP,Payload/Shellcode,后门/Webshell,木马/病毒, 反弹,回显,跳板,黑白盒测试,暴力破解,社会工程学,ATT&CK 等 。相信大家和我一样,搞不清这些专业名词的区别,所以我来整理一下。

渗透测试常用专业术语

POC、EXP、Payload与Shellcode

POC:全称 ’ Proof of Concept ',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。

EXP:全称 ’ Exploit ',中文 ’ 利用 ',指利用系统漏洞进行攻击的动作。

Payload:中文 ’ 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。

Shellcode:简单翻译 ’ shell代码 ',是Payload的一种,由于其建立正向/反向shell而得名。

几点注意

POC是用来证明漏洞存在的,EXP是用来利用漏洞的,两者通常不是一类,或者说,PoC通常是无害的,Exp通常是有害的,有了POC,才有EXP。

Payload有很多种,它可以是Shellcode,也可以直接是一段系统命令。同一个Payload可以用于多个漏洞,但每个漏洞都有其自己的EXP,也就是说不存在通用的EXP。

Shellcode也有很多种,包括正向的,反向的,甚至meterpreter。

Shellcode与Shellshcok不是一个,Shellshock特指14年发现的Shellshock漏洞。

Payload模块

在Metasploit Framework 6大模块中有一个Payload模块,在该模块下有Single、Stager、Stages这三种类型,Single是一个all-in-one的Payload,不依赖其他的文件,所以它的体积会比较大,Stager主要用于当目标计算机的内存有限时,可以先传输一个较小的Stager用于建立连接,Stages指利用Stager建立的连接下载后续的Payload。Stager和Stages都有多种类型,适用于不同场景。

最低0.47元/天 解锁文章
亿林数据
关注
渗透测试常见专业术语
m0_69043895的博客
02-20 2126
一篇文章学会网络安全专用术语
【信息收集】——5、Gobuster目录扫描
Fly_鹏程万里
02-28 2676
前言本小节将介绍一些在渗透测试中经常使用的术语,有助于大家在之后的渗透测试学习中深入理解相关博客文章。SQLSQL(Struct Querry Language)结构化查询语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统,同时也是数据库脚本文件的扩展名。在之后的注入篇中将会详细的对SQL进行深入的讲解,此处只需要知道他是一种针对于数据库操作的编程语言即可。XS...
一些渗透测试人员常用的术语
x202231的博客
06-14 731
在跟老渗透测试人员交流的时候人家说什么,是不是有时候听不懂人家讲的什么话,之前我没学会的时候,就老是听不懂他们讲话,那么我们一起来学习一些渗透测试人员常用的术语吧。
渗透测试术语大全(超详细)
最新发布
2401_87127984的博客
08-26 686
本文系统梳理了网络安全领域的核心概念、技术手段和攻防策略。在攻击方面,详细解析了漏洞、木马、病毒等常见威胁类型,以及SQL注入、DDoS、APT等主流攻击方法;在防御层面,介绍了防火墙、IDS、WAF等安全产品,以及加密技术、零信任、态势感知等防护理念。全文涵盖了网络攻防的基础知识、技术原理和实践应用,既包括传统的安全防护手段,也涉及大数据分析、云安全等前沿技术,为读者提供了全面了解网络安全领域的专业参考。
我收集的一些渗透测试专业名词
weixin_52555162的博客
12-12 4258
测试过程中看见小伙伴们的一些专业名词,因此我做个收集方便以后查询(当然可能不止这些,我也会在后面的学习中慢慢更新) 收集如下: FUZZ(模糊测试): 就是使用大量的数据去一个一个的测试,现在也有很多前辈小伙伴写出了fuzz工具 POC(概念验证): 就是用来验证漏洞是否存在的代码 EXP(利用): 利用系统进行攻击的动作 payload(有效载荷): 成功利用漏洞以后,在目标系统上真正执行的代码或指令 shell: 与系统建立交互的通道 shellcode(shell代码): p
渗透测试知识---行业术语
m0_46412408的博客
07-22 1512
通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存的安全漏洞获得系统的root权限。这是一个形象的比喻,攻击者在利用某些方法成功控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置,这些改动表面上是很难被察觉的,但是攻击者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好像攻击者拿到了你房间的钥匙,可以随时进出而不被发现。可以上传下载文件,查看数据库,执行任意的命令。...
网络安全渗透测试——名词解释
weixin_43778463的博客
10-12 4200
常用术语解释
内部渗透测试名词解释
06-21
内部渗透测试(Internal Penetration Testing, ITP)是一种安全评估方法,它由组织自身或授权的安全专业人员执行,目的是检查内部网络系统和应用程序的安全漏洞。这项测试模拟恶意攻击者的行为,以确定组织的防御...
网络安全专业名词解释
热门推荐
qq_40909772的博客
03-04 1万+
Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解.
渗透测试专业术语——攻击篇
m0_62614507的博客
03-06 1203
渗透测试专业术语——攻击篇
安全测试:最全专业名词解读
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-26 844
安全测试是一个复杂且技术密集型的领域,涉及多个学科的知识,例计算机知识、网络安全、密码学、系统架构等。为了便于开展工作及团队协同,安全测试人员需要掌握和理解一系列专业名词术语
渗透术语大全总结.doc
01-13
shell shell是系统与用户的交换方式界面。简单来说,就是系统与用户“沟通”的环境。我们平时常用到的DOS,就是一个shell。(Windows2000是cmd.exe) root Unix里面最高权限的用户~即超级管理员 admin Windows NT里面最高权限的用户~ rootshell 通过溢出程序,再主机溢出一个具有root权限的shell。
渗透测试常用专业术语
weixin_53639243的博客
01-29 1647
想象自己是一个特工,你的目标是监控一个重要的人,有一天你怀疑目标家里的窗子可能没有关,于是你上前推了推,结果推开了,这是一个POC。之后你回去了,开始准备第二天的渗透计划,第二天你通过同样的漏洞渗透进了它家,仔细查看了所有的重要文件,离开时还安装了一个隐蔽的录音笔,这一天你所做的就是一个EXP,你在他家所做的就是不同的Payload,就把录音笔当作Shellcode吧!
渗透测试专业术语
qq_43776408的博客
09-25 523
渗透攻击:利用漏洞所进行的攻击行为 攻击载荷(Payload):是我们期望目标被渗透攻击之后去执行的代码 shellcode:在渗透攻击时作为攻击载荷运行的一组机器指令 也就是说,shellcode让攻击载荷运行自己的代码 模块:包括渗透攻击模块(exploit module),和辅助模块(auxiliary module) 监听器:在目标主机本渗透攻击之后,他可能会通过互联网连到攻击主机...
渗透测试基础-相关的专业术语
Ete-SQ的博客
01-23 1341
前言:下面所列举的一些专业术语都是在学习渗透测试中比较常见的术语,而且都是比较入门的术语。在描述相关的专业术语时,我摈弃了一些“条条框框”,用一些通俗易懂的语言来显而易见的让学习者知晓。 1.CVE CVE 的英文全称是“Common Vulnerabilities & Exposures”,中文的意思是常见的漏洞与分析。它是由一个非盈利的组织对一些漏洞的编号。比如说你发现了一个漏洞, 你想要描述它,那么就可以对此漏洞申请一个CVE编号。 那么为什么要用CVE编号呢?举个例子 假如apach
渗透测试中一些专业术语讲解
Sys1em32 安全之路
03-02 1514
写这个博客的目的也是为了我的安全学习做一些笔记吧,对于刚步入安全的我来说,菜鸡这个词可以说是很好的形容了我。看一些技术博客文章之内的,看到很多专业术语都是一阵头疼,完全不懂。所以我自己就查遍了各种资料,来一个汇总吧。 Webshell----“web”的含义是显然需要服务器开放WEB服务,“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后,通常会将这些asp或php后...
网安渗透测试专业术语知识
无言道的博客
12-22 2471
1、肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方 可以是WINDOWS系统,也可以是UNIXLINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方所发觉。 2、木马 木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare 等等。 3、远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
渗透测试常用术语总结
2401_88220102的博客
12-28 914
在网络攻防的语境下,0day漏洞指那些已经被攻击者发现掌握并开始利用,但还没有被包括受影响软件厂商在内的公众所知的漏洞,这类漏洞对攻击者来说有完全的信息优势,由于没有漏洞的对应的补丁或临时解决方案,防守方不知道如何防御,攻击者可以达成最大可能的威胁。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过对方系统存在的安全漏洞获得系统的root或system权限。
渗透测试术语--必要基础
09-28 622
了解和记住渗透测试术语网络安全技术人员必要的基础,能帮助我们有效沟通和合作、全面理解渗透测试流程、设计和规划渗透测试活动、安全漏洞识别和利用和规避法律和道德风险。我整理一部分术语,自己归为8个分类方便记忆。共整理了56个术语,每个术语都有简要的含义解释
渗透测试专业名词解读
09-02
以下是几个关键的专业名词: 1. **靶场** (Target): 渗透测试的目标环境,可能是真实的生产系统、仿真环境或者专门的安全测试环境。 2. **资产列表** (Asset Inventory): 包含需要评估的所有目标系统的详细清单,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值