渗透测试专业术语2

二：攻击方法
1.挂马 就是在别人的网站文件里面放入网页木马或者是将代码潜入到对 方正常的网页文件里，以使浏览者中马。
2.挖洞 指漏洞挖掘。
3.加壳 就是利用特殊的算法，将 EXE 可执行程序或者 DLL 动态连接库文 件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积 或者加密程序编码，甚至是躲过杀毒软件查杀的目的。 目前较常 用的壳有
UPX，ASPack、PePack、PECompact、UPack、免疫 007、木马彩衣等等。
简单的解释就是程序对输入数据没有执行有效的边界检测而导致 错误，后果可能是造成程序崩溃或者是执行攻击者的命令。
4.缓冲区溢出 攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情 况下，这些多余的字符可以作为“执行代码”来运行，因此足以使 攻击者不受安全措施限制而获得计算机的控制权。
5.注入 Web 安全头号大敌。攻击者把一些包含攻击代码当做命令或者查 询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计 划外的命令或者未授权访问数据。 注入攻击漏洞往往是应用程序 缺少对输入进行安全性检查所引起的。注入漏洞通常能在 SQL 查 询、LDAP
查询、OS 命令、程序参数等中出现。
6.SQL 注入 注入攻击最常见的形式，主要是指 Web 应用程序对用户输入数据 的合法性没有判断或过滤不严，攻击者可以在 Web 应用程序中事 先定义好的查询语句的结尾上添加额外的 SQL 语句，在管理员不 知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非
授权的任意查询或其他操作，导致数据库信息泄露或非授权操作数 据表。
7.注入点 即可以实行注入的地方，通常是一个涉及访问数据库的应用链接。 根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不 同。
8.软件脱壳 顾名思义，就是利用相应的工具，把在软件“外面”起保护作用的 “壳”程序去除，还文件本来面目，这样再修改文件内容或进行分 析检测就容易多了。
9.免杀 就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序， 使其逃过杀毒软件的查杀。
10.暴力破解 简称“爆破”。黑客对系统中账号的每一个可能的密码进行高度密 集的自动搜索，从而破坏安全并获得对计算机的访问权限。
11.洪水攻击 是黑客比较常用的一种攻击技术，特点是实施简单，威力巨大，大 多是无视防御的。 从定义上说，攻击者对网络资源发送过量数据 时就发生了洪水攻击，这个网络资源可以是 router，switch，host， application 等。
洪水攻击将攻击流量比作成洪水&#x