安全术语
文章平均质量分 92
介绍网络安全领域常用术语,答疑解惑。
筑梦之月
10+年网络安全领域大厂工作经验,国际注册信息系统安全专家CISSP证书持有者,研究生国家奖学金获得者,发表多篇SCI论文及专利,专注于SDL、DevSecOps、安全体系构建、安全工具等网络安全垂直知识分享与交流。
展开
-
网络安全领域五大注入攻击类型介绍
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。原创 2024-07-21 21:59:07 · 940 阅读 · 0 评论 -
网络安全常用易混术语定义与解读(Top 20)
没有网络安全就没有国家安全,网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!原创 2024-07-21 20:42:04 · 1020 阅读 · 0 评论 -
收藏 | 恶意软件的九大家族介绍
恶意软件(malware)是指被专门设计用于损坏或中断系统、破坏保密性、完整性和/或可用性的软件,我们常说的病毒和特洛伊木马都属于恶意软件。定义范围: 恶意代码是一段具有恶意目的的程序代码片段,可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念,通常指完整的、可执行的恶意程序。功能完整性: 恶意代码可能只是实现特定恶意功能的一部分代码,不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。传播方式: 恶意代码可能嵌入在正常的软件或文件中进行传播。原创 2024-07-19 07:35:52 · 501 阅读 · 0 评论 -
轻松掌握X.509数字证书全解析,附赠权威详解资料!一读通透,安全之旅从此启程!
我们常见的.pem.pfx后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信中,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?原创 2024-06-25 07:43:41 · 1371 阅读 · 0 评论 -
安全术语 | 软件包purl详解:跨工具、数据库、API和语言之间可靠地识别和定位软件包
我们通过大量消费和生产软件包来构建和发布软件,如Maven、Gradle、NPM、RPM、Rubygems等。每个软件包管理器、平台、类型或生态系统都有自己的约定和协议来识别、定位和提供软件包。当工具、API和数据库处理或存储多个包类型时,很难以统一的方式跨工具引用同一个软件包。例如,这些工具、规范和API使用相对相似的方法来识别和定位软件包,每个软件包在语法、命名和约定方面都有细微的差异:1、Sonatype 使用组件标识(component Identifier)来区分不能组件。原创 2024-05-28 21:48:18 · 1595 阅读 · 0 评论 -
「 网络安全常用术语解读 」静态应用安全测试SAST详解
静态应用安全测试 (SAST,Static Application Security Testing) 也称静态分析,是一种测试方法,通过分析源代码来发现应用受到攻击的安全漏洞。SAST 在编译代码之前扫描应用,故又经常被称为白盒测试。原创 2024-05-20 07:07:25 · 1322 阅读 · 0 评论 -
「 网络安全常用术语解读 」漏洞利用预测评分系统EPSS详解
EPSS(Exploit Prediction Scoring System,漏洞利用预测评分系统) 提供了一种全新的高效、数据驱动的漏洞管理功能。EPSS是一项数据驱动的工作,使用来自 CVE 的当前威胁信息和现实世界的漏洞数据。EPSS 模型产生 0 到 1(0 到 100%)之间的概率分数,其中分数越高,漏洞被利用的概率越大。原创 2024-05-06 15:25:19 · 1311 阅读 · 1 评论 -
「 网络安全常用术语解读 」通用安全通告框架CSAF详解
通用安全通告框架(Common Security Advisory Framework,CSAF)通过标准化结构化机器可读安全咨询的创建和分发,。CSAF是OASIS公开的官方标准。开发CSAF的技术委员会包括许多公共和私营部门的技术领导者、用户和影响者。CSAF最新版本为2022年11月18日发布的2.0版本。(访问密码: 6277)提供商可以使用CSAF来标准化安全咨询的格式、内容、分发和发现。。原创 2024-05-05 15:39:04 · 1772 阅读 · 0 评论 -
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet原创 2024-05-04 23:13:44 · 1157 阅读 · 1 评论 -
「 网络安全常用术语解读 」通用配置枚举CCE详解
CCE列表为安全相关的系统配置问题提供了唯一的标识符,以便通过促进多个信息源和工具之间配置数据的快速准确关联来改进工作流程。原创 2024-05-04 09:42:59 · 1273 阅读 · 0 评论 -
「 网络安全常用术语解读 」SBOM主流格式SWID详解
国际标准化组织(ISO)和国际电工委员会(International Electrotechnical Commission,IEC)发布了软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式。原创 2024-05-03 17:33:07 · 1314 阅读 · 1 评论 -
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。原创 2024-05-03 11:16:29 · 1745 阅读 · 0 评论 -
网络安全常用术语解读:目录汇总(已更新28篇)
「 网络安全常用术语解读 」漏洞利用交换VEX详解「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐「 网络安全常用术语解读 」什么是0day、1day、nday漏洞「 网络安全常用术语解读 」软件物料清单SBOM详解「 网络安全常用术语解读 」杀链Kill Chain详解「 网络安全常用术语解读 」点击劫持Clickjacking详解「 网络安全常用术语解读 」悬空标记注入详解「 网络安全常用术语解读 」内容安全策略CSP详解原创 2024-05-02 23:04:00 · 639 阅读 · 0 评论 -
「 网络安全常用术语解读 」SBOM主流格式SPDX详解
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。原创 2024-04-25 07:33:49 · 1547 阅读 · 5 评论 -
「 网络安全常用术语解读 」软件物料清单SBOM详解
软件物料清单(Software Bill of Materials,SBOM)是软件成分信息的集合,SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单,用于描述软件构建过程中使用的所有组件及其关系,以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素,原创 2024-04-24 21:50:57 · 1585 阅读 · 3 评论 -
「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
综上所述,0day 漏洞是指漏洞被公开披露后即被攻击者利用的漏洞,1day 漏洞是指在第一天内发布修复程序的漏洞,而 nday 漏洞则表示补丁修复延迟的漏洞。推荐阅读一、网络安全常用术语解读系列(持续更新中)「 网络安全常用术语解读 」杀链Kill Chain详解「 网络安常用全术语解读 」点击劫持Clickjacking详解「 网络安常用全术语解读 」悬空标记注入详解「 网络安常用全术语解读 」内容安全策略CSP详解「 网络安全常用术语解读 」同源策略SOP详解。原创 2024-04-21 13:42:37 · 3494 阅读 · 0 评论 -
「 网络安全常用术语解读 」漏洞利用交换VEX详解
VEX(Vulnerability Exploitability eXchange),即漏洞可利用性交换,是一个软件生产者与软件消费者共享其软件组件中存在的漏洞评估的系统。VEX提供了一种一致且标准化的方式来描述漏洞,包括漏洞的标准详细信息,如严重性、影响软件。还包括对漏洞的分析,例如漏洞是否可被利用,以及如何减轻或修复漏洞,以及可用于防范的任何已知解决方案。VEX是软件生产商对其软件中的漏洞进行分类和标记的机制。VEX标准是由开放式标准组织OASIS。原创 2024-04-17 21:59:36 · 1354 阅读 · 0 评论 -
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。原创 2024-04-15 08:45:00 · 2703 阅读 · 0 评论 -
「 网络安全常用术语解读 」同源策略SOP详解
同源策略(Same Origin Policy,SOP)是浏览器的一种安全机制,旨在防止网站相互攻击。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问/操作另一个域的绝大部分属性和方法。这种策略有助于保护用户数据的安全,防止恶意脚本或代码的执行。同时,它也限制了网页能够访问和操作的网络资源范围,有助于提高网页的性能和安全性。同源策略限制一个源上的脚本访问另一个源的数据。一个源包括一个URI协议、域名和端口号。这使用 http 协议、域名 normal-website.com 和端口号 80。原创 2024-04-06 11:08:07 · 1245 阅读 · 1 评论 -
【解读】NIST网络安全框架CSF 2.0
NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。治理是指建立和监控组织的信息安全风险管理战略、期望和政策。治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。原创 2024-03-15 08:13:33 · 1854 阅读 · 1 评论 -
解读OWASP软件保障成熟度模型SAMM
OWASP软件保证成熟度模型(SAMM)是一个开放的框架,用以帮助组织制定并实施针对组织所面临来自软件安全的特定风险的策略。评估一个组织已有的软件安全实践;建立一个迭代的、权衡的软件安全保证计划;用于证明安全保证计划可带来的实质性改善;定义并衡量组织中与安全相关的措施。SAMM以灵活的方式定义,以使它可被大、中、小型组织应用于任何类型的软件开发中,甚至是一个单一的项目。最初的模型(v1.0版本)由Pravir Chandra编写于2009年。原创 2024-03-03 16:02:31 · 1625 阅读 · 0 评论 -
解读OWASP应用安全验证标准ASVS
OWASP应用安全验证标准,是一份测试应用安全的清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和消费者参考,用于定义、构建、测试和验证安全的应用。当前最新版本是Version 4.0.3, 于2021年10月发布,具体文档可点此下载(访问密码:6277),访问密码6277。ASVS 5.0版本的计划和路线图已经公布,关注博主,后续会持续更新。原创 2024-03-03 08:55:09 · 1583 阅读 · 0 评论 -
「 网络安全术语解读 」通用攻击模式枚举和分类CAPEC详解
常见攻击模式枚举和分类(Common Attack Pattern Enumerations and Classifications ,CAPEC)是一个常见攻击模式的枚举和分类系统。它由MITRE公司开发,以CVE和CWE为基础,提供了公开的常见攻击模式列表和分类,旨在帮助安全专业人员更好地理解和应对常见的攻击模式。CAPEC当前最新版本为3.9,共收录了559种攻击模式,发布于2023年1月24号。原创 2024-01-23 22:19:24 · 1991 阅读 · 0 评论 -
「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个针对现实世界观察总结得到网络攻击者的战术、技术和常识知识库。它由美国网络安全公司MITRE开发,旨在帮助网络安全专业人员更好地了解和应对网络威胁。ATT&CK知识库被用作私营部门、政府以及网络安全产品和服务社区中特定威胁模型和方法的开发基础。ATT&CK当前最新版本为 v14,发布于2023年10月31,后续也会持续更新。原创 2024-01-22 13:00:00 · 1138 阅读 · 0 评论 -
「 网络安全常用术语解读 」杀链Kill Chain详解
早在2009年,Lockheed Martin公司就提出了杀链(Kill Chain)理论,现在也称之为攻击者杀链(Attacker Kill Chain)。杀链其实就是攻击者进行网络攻击时所采取的步骤。。在第1-6步的任何时刻进行成功拦截,都能够实现对目标的保护。Note:这是一个完整的、端到端的过程,故称之为“链”,任何不足都会中断整个过程。原创 2024-01-19 21:35:59 · 2892 阅读 · 1 评论 -
「 网络安全术语解读 」悬空标记注入详解
悬空标记注入(Dangling markup injection)是一种技术,当由于输入过滤或其他防御措施而无法进行完全的跨站脚本攻击时,它可以用于捕获跨域数据。它可以被用来捕获其他用户可见的敏感信息,包括可用于代表用户执行未经授权操作的CSRF令牌。该技术常常被用来执行恶意操作并获得用户的数据。攻击者利用这个技术通过构造包含特殊标记的查询字符串,从另一个域获取数据。Note:当输入过滤器或其他防御措施阻止了完全的跨站脚本攻击时,攻击者可以利用这个技术来窃取敏感信息。原创 2024-01-13 21:55:42 · 1805 阅读 · 0 评论 -
「 网络安全术语解读 」点击劫持Clickjacking详解
点击劫持(Clickjacking)是一种常见的网络安全攻击手段,它是一种基于界面的攻击手段,利用了隐藏的网站通过诱骗用户点击诱饵网站中的其他内容来点击一个隐藏的网站上的可操作内容。一个网络用户访问一个诱饵网站(可能是通过电子邮件提供的链接),并点击一个按钮以赢得奖品。不知不觉中,他们被攻击者欺骗,按下了另一个隐藏按钮,结果在另一个网站上执行了账户支付。Note:这种攻击技术依赖于在iframe中嵌入一个或多个包含按钮或隐藏链接的不可见网页,这些网页在用户预期的诱饵网站内容上方叠加。原创 2024-01-11 07:17:25 · 1645 阅读 · 0 评论 -
「 CodeQL从入门到精通系列 」03.CodeQL常用术语介绍
相比其他代码检测工具,CodeQL中定义了很多专用术语,为了更快上手后续章节,本文对接下来要用到的术语做了统一汇总与解读。原创 2024-01-10 07:38:30 · 1329 阅读 · 0 评论 -
「 网络安全术语解读 」内容安全策略CSP详解
CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的主要原理是通过在网页中实施一些安全策略来限制代码执行,从而减少攻击者利用的机会。Note:要启用CSP,响应需要包含名为的HTTP响应标头,该标头的值包含策略。策略本身由一个或多个指令组成,由分号分隔。原创 2024-01-09 21:51:09 · 2323 阅读 · 0 评论 -
「网络安全术语解读」静态分析结果交换格式SARIF详解
SARIF(Static Analysis Results Interchange Format ,静态分析结果交换格式)是一种用于描述静态分析结果的规范,用于在不同工具之间交换和理解静态分析报告。它最初是为了满足Eclipse插件开发者的需求而设计的,现在也被广泛应用于其他静态代码分析工具中。目前SARIF 2.1.0 已经是OASIS标准。Note:OASIS是一个致力于推动基于XML标准化的非盈利组织,其成员来自各个行业,旨在通过标准化改善业务流程的效率和可靠性。原创 2024-01-08 07:31:20 · 1540 阅读 · 0 评论 -
「 网络安全常用术语解读 」安全自动化协议SCAP详解
SCAP(Security Content Automation Protocol)是一种安全自动化协议,是由NIST建立的一套规范,主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据,以便自动检测、响应和缓解网络安全威胁。SCAP的主要目标是提高网络安全自动化程度,促进安全社区、企业和政府机构之间的协作,以便更有效地识别、应对和预防网络安全威胁。在实际应用中,SCAP规范被广泛应用于安全扫描工具、漏洞管理系统和自动化安全报告等领域。组件描述维护组织地址。原创 2023-12-30 22:16:55 · 2534 阅读 · 0 评论 -
「 网络安全术语解读 」通用平台枚举CPE详解
通用平台枚举(Common Platform Enumeration,简称,CPE)是描述和识别企业计算资产中存在的应用程序、操作系统和硬件设备类别的标准化方法,它提供了一个标准的机器可读的格式,利用这个格式可以对IT产品和平台进行唯一编码。CPE字典当前最新的版本为2.3,发布于2011年7月29日,该字典以XML格式提供,由NIST托管和维护,公众可以免费使用。原创 2023-03-04 21:16:51 · 5461 阅读 · 0 评论 -
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文中所提到的缺陷指软件、固件、硬件或服务组件中的一种状态,在某些情况下,可能导致漏洞的引入。原创 2023-02-26 16:18:59 · 6892 阅读 · 0 评论 -
「 网络安全常用术语解读 」通用漏洞披露CVE详解
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞。原创 2023-03-04 11:56:33 · 8878 阅读 · 2 评论 -
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞。原创 2023-03-11 13:06:32 · 7983 阅读 · 0 评论