网络安全术语
数据外泄(Data Exfiltration)
数据外泄是指在没有得到授权的情况下,数据被泄露或暴露给未经授权的第三方。数据外泄的后果可能会严重影响受影响个人或企业,包括个人隐私的泄露、商业机密的泄露、公司的声誉受损和巨大的法律责任等。
数据清理(Data Sanitation)
清理数据涉及去除任何特殊字符或保留字的数据,这些特殊字符或保留字可能导致用户输入作为代码意外和不需要的执行。它是防止与注入(包括 XSS、SQL等)相关的攻击的有效手段。
数据泄露(Data Leakage)
与数据外泄不同,数据泄露意味着配置不当的服务或其他系统会意外暴露敏感数据。例如对公共互联网开放的不安全日志服务器意外地在日志中暴露身份验证凭据。在这种情况下,没有人侵入应用程序或破坏网络或数据库,但有人犯了让该资源保持开放状态的错误,而该数据可能为另一波攻击提供基础。
利用(Exploit)
漏洞利用是对应用程序或其用户发起攻击的恶意代码,它利用漏洞所呈现的缺陷,利用弱的或破坏的身份验证、较差的权限管理、不足的数据控制或其他媒介进行破坏。
指纹识别(Fingerprinting)
指纹识别是收集系统信息的过程,可让您识别有关操作系统的数据和目标应用程序环境的规格数据,这些数据可帮助您调整策略。它包括检测托管服务、服务器操作系统类型和版本、应用程序语言和框架、任何包含的第三方库以及可公开查看的 API 集成。
模糊测试(Fuzzing)
Fuzzing 包括用不同的信息排列轰炸应用程序,试图通过重复、高速的试错过程来揭示弱点。模糊测试工具通常摄取模糊输入的模式或字典,以构建它们将提交给目标应用程序的一系列攻击字符串。
Google Dorks
Google Dorks可以用来寻找网站上的隐藏信息,或者通过搜索特定的文件类型,找到安全漏洞,进而入侵目标网站。
已知组件漏洞(Known Component Vulnerabilities)
组件漏洞 (Component Vulnerabilities)是指应用程序所使用的第三方组件或库存在漏洞,攻击者可以利用这些漏洞来进入应用程序,在其中进行攻击和执行恶意操作。
开源情报(OSINT)
开源情报是从公共记录(域名注册商记录、官方文件、社交网络资料、参与公共论坛或其他数字空间以及其他来源)中收集有关目标信息的做法,这些信息可用于协助其他情报——收集活动,例如泄露密码或启用有针对性的社会工程。
被动与主动扫描(Passive Versus Active Scanning)
被动扫描指在用户主动请求或网络流量过程中收集信息。实现被动扫描的工具叫做“安全信息和事件管理系统”(Security Information and Event Management,SIEM),其主要工作是收集来自网络和各种日志源的数据。被动扫描不会对目标系统或应用程序进行任何操作,对实体的影响相对较小。
主动扫描指通过网络抓包、端口扫描等手段主动探测目标系统或应用程序的漏洞信息。主动扫描工具包括Metasploit、Nmap、OpenVAS等。主动扫描通常需要事先获得目标系统的授权,并且会对实体产生一定影响,因此需要谨慎使用。
概念验证 (Proof-of-Concept,PoC)
漏洞的 PoC 是用于证明存在问题的安全问题的代码片段或一系列指令。 PoC 应该尽可能简单,以显示触发漏洞所需的最低条件。
沙箱(Sandbox)
沙箱是指一种安全机制,用于隔离应用程序或进程和底层系统,以避免恶意代码对系统造成危害。沙箱提供一个封闭的环境,应用程序只能在这个环境中运行,无法直接访问系统资源。如果应用程序或进程发生了崩溃或被攻击,沙箱将保护系统资源不受影响。
红队(Red Team)
公司的红队是内部安全团队,负责模仿外部攻击者的攻击和行为,探查公司网络的防御,并通过反复的攻击分析和企图入侵来暴露弱点。
安全港(Safe Harbor)
一些漏洞赏金计划也会制定安全港条款。 这实质上是公司承诺证明您是研究人员并保证您免于法律诉讼,以换取您遵循他们在 RoE 中制定的测试指南。
范围(Scope)
参与的范围是指可以进行分析的目标应用程序的区域(由 IP 地址、主机名和功能定义)以及不允许的测试行为类型(例如,不允许主动扫描,不要弄乱或修改另一个用户的数据,等等)。 遵守范围至关重要,既要尊重程序的操作员,又要尽量减少因接触越界系统而可能招致的任何责任。
零日(Zero-Day)
零日是安全领域的一个常见术语,是指一个以前从未被发现的漏洞。
白盒测试(While Box Testing)
白盒测试是一种软件测试方法,测试人员可以查看被测程序的源代码,并基于此编写测试用例。
黑盒测试(Black Box Testing)
黑盒测试(Black Box Testing)是一种软件测试方法,测试人员不需要了解被测软件的内部结构和代码,只关注外部行为和功能。黑盒测试主要关注系统功能是否符合需求规格说明书或其他可验证的文档,测试人员通过输入合适的输入,检查系统输出是否正确来评估系统性能。
单源政策(Single-Origin Policy)
单源策略是浏览器使用的CORS系统的一部分,用于调节和限制来自不同来源(主机名、端口等)的脚本访问彼此数据的能力。单源或CORS机制是试图阻止一个应用程序暴露敏感信息或在另一个站点上进行状态更改操作。
跨源资源共享(CORS)
跨源资源共享(CORS)是一种不同来源(IP地址、端口等)的服务可以共享资源的方法。
攻击场景(Attack Scenario)
攻击场景是一个详细的、技术上有效的假设场景,它涉及如果不打补丁并在恶意代理的服务中被利用,该漏洞可能会造成损害。
攻击面(Attack Surface)
应用程序的攻击面是数据插入或取出应用程序的所有点的总和。攻击面的每一部分都是黑客入侵您应用程序的一部分的机会。应用程序的攻击面越大,保护应用程序所需的工作就越多,而且难度也越大。
web渗透
Web渗透(也称为Web安全测试)是指对Web应用程序进行的安全评估和测试的过程。这种测试旨在识别Web应用程序中存在的任何安全漏洞,例如SQL注入、跨站脚本(XSS)攻击、跨站请求伪(CSRF)等问题。渗透测试员使用各种技术和工具来模拟攻击,以识别和报告潜在的安全风险,并提供建议和解决方案以加强Web应用程序的安全性。
简记:通过渗透测试找出网页端可能存在的威胁数据安全的漏洞,并作出相应的修复和加固,以提高数据安全性。
内网渗透
内网渗透指的是对于企业内部网络进行安全评估和测试,旨在发现和利用该内网中隐藏的安全漏洞和弱点。与Web渗透不同,内网渗透的目标是从内部角度测试网络,评估企业内部访问控制、安全策略和网络架构等方面的安全性,并在此基础上建议和实施改进措施,提高企业的安全水平。
内网渗透需要使用各种技术和工具,例如端口扫描、漏洞扫描、密码破解、社会工程学攻击等。通过这些技术和工具,渗透测试员可以发现和利用企业内部网络中隐藏的安全漏洞和弱点,例如未更新的系统、弱密码、不安全的配置等。在渗透测试过程中,测试员需要遵循一些规则和规范,确保测试过程安全、合法和可控。
代码审计
代码审计指的是对软件程序源代码的细致、系统地检查,以发现其中存在的安全隐患或漏洞。代码审计是一种黑盒和白盒测试技术,能够帮助发现软件中的漏洞,并提供建议和解决方案以增强软件的安全性。
代码审计通常是利用手动和自动分析技术进行的。手动分析技术需要具备深入的编程技能和对常见Web漏洞的理解,从代码本身和程序的运行逻辑、存储结构、接口交互等方面着手分析。自动化分析技术则是通过利用代码审计工具进行分析,以识别并展示可能存在的漏洞。
代码审计的重点是找出那些可能被攻击者利用的漏洞,例如SQL注入、跨站脚本(XSS)攻击、文件包含漏洞等。代码审计能够帮助开发人员和安全团队在软件发布前发现和修复这些漏洞,提高软件的安全性和质量。
CTF竞赛
CTF(Capture The Flag)是一种以网络安全为主题的竞技比赛。参赛者需要在计算机网络的攻防环境中完成各种与安全相关的任务,例如漏洞利用、逆向工程、密码学、网络协议等方面的挑战,以获取比赛中设定的Flag(标志)。Flag通常是一串特定的文本或代码,参赛者需要通过解密、漏洞利用、抓包等技术手段获取它们。
CTF比赛通常组织成团队参赛,参赛者需要通过团队合作和协作,以共同完成各项任务。CTF比赛存在多种形式,例如线上赛、现场赛、攻防赛等。在比赛中,参赛者需要不断学习和应用新的技术和工具,以提高攻防能力和综合水平。
CTF比赛对于参赛者来说具有很大的教育意义,它不仅可以提高他们的技术能力,还可以增强团队协作和竞争意识。同时,CTF比赛也为安全从业者提供了交流和学习的平台,促进了网络安全技术的发展和应用。
免杀
病毒是 Vrius ,杀毒软件是 Anti-Virus,称AV。免杀就是"反杀毒技术"。
AV常见的查杀为特征查杀和行为查杀两大类:
- 特征查杀
扫描获取部分信息并与病毒特征库进行匹配,如果与其中的病毒特征匹配成功,AV就判断此文件被病毒感染。AV查杀会挑选文件内部的一段或者几段代码作为识别病毒的特征信息,这种代码就叫做病毒的特征码。杀毒软件病毒特征库中至少数百万特征码。
特征码:能识别一个程序是一个病毒的一段不大于64字节的特征串。 - 行为查杀
对一些病毒经常做的操作行为进行记录,这些行为是病毒的共同行为而且比较特殊,在正常程序中,这些行为比较罕见,并针对敏感的行为进行监控,当发现有程序去请求这些敏感行为时只要不在白名单内都进行弹窗提示或直接拦截该进程。比如这些行为:注册表操作,添加启动项,添加服务,文件写入、读系统文件、删除文件,移动文件,杀进程,创建进程注入、劫持等
免杀技术指的是针对杀毒软件、防病毒软件等安全工具的检测、识别和拦截能力进行规避和绕过的技术手段。攻击者使用免杀技术可以伪装恶意软件、混淆恶意代码、绕过安全检测等,以达到绕过安全系统、扩大攻击面、成功攻击目标的目的。
免杀技术一般需要针对特定的安全工具进行研究和开发,例如杀毒软件、主机防火墙、入侵检测系统等。
免杀技术可以包括以下方面:
1.恶意代码加密、压缩、混淆等技术使其不易被安全工具检测到。
2.利用漏洞,使恶意代码能够绕过安全工具的检测和拦截。
3.绕过恶意代码分析工具,使其无法获得完整的样本进行研究和分析。
4.利用多种不同的攻击方式,例如社交工程、命令与控制、木马等,从而提高攻击的成功率。
5.基于虚拟化、沙箱等技术,使恶意代码能够在安全工具监视范围之外运行。
为了防止免杀攻击,安全团队需要对最新的免杀技术进行研究和了解,并通过升级防病毒软件、加强安全策略、提高安全敏感度等方式来增强网络安全防护能力。
应急响应
应急响应是指在遭受网络攻击、威胁、破坏或者其他信息安全事件时,快速组织、计划、实施针对性行动,缩小、控制并消除安全事件对机构、企业、组织带来的损失和影响。
**应急响应的目的是最大限度地减少被攻击/受影响的系统或网络的损害,并在最短时间内恢复到正常运行状态。**常规的应急响应流程包括以下几个步骤:
1.收集信息:收集关于安全事件的信息,包括袭击者的IP地址、攻击手段、受攻击的系统、时间、持续时间等。
2.分析评估:分析安全事件的严重性、威胁,估计损失和影响程度,设计恢复计划和紧急措施。
3.控制扩散:采取措施限制攻击事件的蔓延,如封锁网络流量,隔离受感染的设备等。
4.恢复系统:逐步恢复被攻击的网络系统,修复漏洞、清除恶意代码、还原备份等。
5.后续跟踪:事后对事件进行总结分析,总结经验教训,提高应急响应的水平。
应急响应团队需要具备多方面的技能和知识,包括网络安全技能、加固技能、恢复技能、准确地判断事件、快速行动等等。
溯源反制
溯源反制是指在发现网络攻击或安全事件后,通过对攻击源地址、攻击路径、攻击手段等信息进行深入分析研究,寻找攻击源并对其进行打击和反制的过程。主要目的是通
过追踪网络攻击的源头信息,找到攻击者并对其进行制裁,以保护网络安全和利益。
溯源反制一般包括以下几个步骤:
1.收集信息:迅速收集关于攻击的信息,包括攻击目标、时机、受影响的系统、攻击路径、攻击手段、攻击源IP地址等。
2.分析判断:根据攻击信息进行分析,判断攻击者的身份、意图和目的等。
3.追踪溯源:根据分析结果,寻找攻击源地址,利用跟踪技术追踪攻击路径和攻击过程。
4.反制打击:一旦发现攻击源地址,可以向服务提供商或执法机构举报,或对攻击源地址进行封堵、防火墙过滤等手段的打击反制。
5.建立预警系统:建立网络安全预警系统,预测网络攻击的可能性和可能的攻击面,及时发现和掌握安全事件,采取相应的应对措施。
溯源反制能够在网络攻击并未造成较大损害之前,迅速找到攻击源,并采取适当的反制措施,以降低损失。但同时也需要遵循法律法规的规定,不能进行非法入侵或者攻击行为。
红蓝对抗
红蓝对抗(Red vs Blue)是指模拟网络攻防场景,将安全团队分成红队和蓝队两个对抗方,以强化网络安全防御和攻击能力的训练方法。红队代表攻击方,蓝队代表防御方,两者在同一网络环境中进行对抗模拟,实际应用中红队往往会模拟黑客的攻击手法,蓝队则是要及时检测和识别攻击,制定相应的防御和响应策略。
在红蓝对抗中,红队的目的是模拟真实攻击行为,以提高攻击手段和压力测试蓝队的防御能力。他们使用多种攻击技术和工具,例如漏洞利用、密码爆破、社交工程等突破蓝队的防线,在目标系统中获取敏感信息。而蓝队则需要识别和检测攻击,制定相应的防御和响应策略,通过收集攻击痕迹,发现漏洞,并进行修补和预防,提高系统的鲁棒性。
红蓝对抗的好处在于模拟了真实攻击环境下的攻防竞争,培养和提高安全团队的技术水平和应对能力,为安全团队提供了锻炼和学习的平台,也帮助企业更好地保护其网络安全。同时红蓝对抗也是一种有效的强制测试手段,可以在打破安全格局之前快速地检测企业的安全防线和漏洞,为企业安全管理提供参考依据。
1666
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
