一、安全测试法规和法律:《中华人民共和国网络安全法》、《中华人民国共和国刑法》
1、违法案例;
2、乌云事件–袁炜世纪佳缘网站提交漏洞,被感谢,被举报逮捕,属于非法窃取网站数据。
3、安全测试专业术语:
黑客-攻守兼备技术人才;
红客-中国维护国家安全的人才;
骇客-而已破解的黑客,之前叫黑客;
白帽子-企业从事防御黑客;
红帽子-中国维护国家正义的红客;
灰帽子-自学成才的安全技术人才;
黑帽子-研究病毒木马的人才;
曝光-被发现的漏洞,国家安全信息共享平台、hackone、漏洞盒子-
0day-没有曝光,问题危害极大
1day-曝光一天的漏洞,企业来不及修复。
Nday-曝光N天,漏洞价值小。
免杀-躲过杀毒软件扫描。
肉鸡-黑客攻击后种植病毒,有家庭鸡、网吧鸡、服务器
抓肉鸡-扫描弱口令爆破自动种植;
挖掘-漏洞的挖掘,也叫挖洞;
加壳-使用.exe可执行文件或者dll动态链接库、upx、Aspack
软件脱壳-还原加壳的软件
花指令-设计者特别设计的构思的指令,能够让反汇编市后出错。
DDoS-肉鸡发送无用请求导致网络不能够上网。
CC攻击-借助代理服务器发送合法请求占用资源,耗尽目标服务器资源,达到拒绝服务器的目的。平时杨号码,关键时候比如双11使,导致网络阻塞。
网络钓鱼-将一些正常的网站部署到自己服务器,注入病毒和木马,受骗者会泄露自己的邮箱、自认资料、信用卡号..
社会工程学-主动研究人性弱点的黑客手法,具体这本书中有提到《反欺骗的艺术》
拿站-获得网站的最高的权限
提权-提高个人权限访问
渗透-扫描检查网络设备及其系统有没有安全漏洞,有的话就可以像一滴水一样渗透一块木板,渗透成功就是系统入侵。
横移-攻击者入侵后,从立足点在内部网络进行拓展攻击。
跳板-利用一个具有辅助作用的机器作为跳转来攻击别的机器。
网马-网页中植入木马在访问的时候就运行了木马=程序。
后门-形象的比喻入侵者植入后植入特定的程序,修改程序等用于访问查看目标机器的一些信息。
捕鲸-针对高级管理员和组织内的高级官员。
黑夜-攻击成功后留下攻击成功的成果进行炫耀。
拖库-从数据库导出数据
撞库-利用a网站的密码信息取登录其他网站,挨个尝试,比如获取到一些小游戏的用户和密码后进行其他网站的尝试攻击获取。
缓存区溢出-计算机内部有存储的栈,构造超过缓存区的数据,溢出的数据会覆盖ebp等,溢出到返回地址进行提权的操作。
薅羊毛-推广线下的分享抽成赚钱,比如拼多多。
暗网-藏在正常互联网下面的网络。
APT攻击-对特定活动进行攻击,只有大型机构才可以进行。
蜜罐-故意让人攻击后记录下黑客的攻击行为在进行防御的手段。
Poc-证明漏洞存在术语
EXP-漏洞的意思
VUL-漏洞的意思
CVE漏洞编号-是一个字典认同的信息安全漏洞或者已经暴露出来的弱点的公共名称
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
