1.POC
POC,Proof of Concept,中文意思是“观点证明”。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的,可以理解成为漏洞验证程序。和一些应用程序相比,PoC 是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。
也常出现在甲方的项目招标过程中,要求乙方提供POC,即证明乙方的方案或者产品能达到声称的功能或性能,通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力的验证工作。比如VMS现行的很多POC项目,即指此意。
2.EXP
EXP,Exploit,中文意思是“漏洞利用程序”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
3.VUL
VUL,Vulnerability的缩写,泛指漏洞。
4.CVE漏洞编号
CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露,例如CVE-2015-0057、CVE-1999-0001等等。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
5.0DAY漏洞和0DAY攻击
在计算机领域中,零日漏洞或零时差漏洞(英语:Zero-dayexploit)通常是指还没有补丁的安全漏洞,通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。后来引入到黑客文化,将一些大规模、致命性、高威胁性、能够造成巨大破坏的漏洞也称为零日漏洞。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
而零日攻击或零时差攻击(英语:Zero-dayattack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。
6.CVSS
CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
7.肉鸡
被黑客入侵并被长期驻扎的计算机或服务器。
8.抓鸡
利用使用量大的程序的漏洞,使用自动化方式获取肉鸡的行为。
9.webshell
通过web入侵的一种脚本工具,可以据此对网站服务进行一定程度的控制。通常是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门,可以上传下载文件,查看数据库,执行任意程序命令等。
10.一句话木马
通过向服务器提交一句简短的代码,配合本地客户端实现webshell功能的木马。
11.提权
操作系统低权限的账户将自己提升为管理员权限使用的方法。
12.后门
黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下的一个入口。