前言
本小节将介绍一些在渗透测试中经常使用的术语,有助于大家在之后的渗透测试学习中深入理解相关博客文章。
SQL
SQL(Struct Querry Language)结构化查询语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统,同时也是数据库脚本文件的扩展名。
在之后的注入篇中将会详细的对SQL进行深入的讲解,此处只需要知道他是一种针对于数据库操作的编程语言即可。
XSS
CSS(Cross Site Script)即跨站脚本攻击,为了和HTML中的CSS(层叠样式)进行区分,在信息安全领域内,我们习惯将跨站脚本攻击成为“XSS”,至于XSS的后续内容将会在后续相关的篇章进行讲解,此处只需要知道它是一种漏洞类型就好
CSRF
CSRF(Cross-site request forgery)即跨站请求伪造,也是一种漏洞的类型,至于具体内容我们在后续的篇章中进行详细的讲解。
SSRF
SSRF(Server-Side Request Forgery)即服务器请求伪造,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统),至于具体细节将会在后续的篇章中详细介绍。
WAF
WAF(WebApplicationFirewall)WEB应用防护系统,也称之为网站应用级入侵防御系统。
Exploit
Exploit,即漏洞利用代码。时常我们会看到不少的CVE漏洞背公布出来,有些CVE漏洞就会附加一些Exploit的代码程序,只要你将代码以正确的形式针对合适的目标测试那么就会显示出最后的效果。
Payload
Payload即有效载荷,被隐藏并且秘密发送的信息,在后续的章节中将会多次提及到这个关键词,刚开始比较陌生的人可以不用太在意,等你多次遇到之后,在来结合此处下的定义来理解相信你一定会事半功倍的。
webshell
WebShell,顾名思义,“web”的含义是显然需要服务器开放WEB服务,“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。由于webshell其大多是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。