WEB安全基础：网络安全常用术语

一、攻击类别

漏洞：硬件、软件、协议，代码层次的缺陷。

后⻔：方便后续进行系统留下的隐蔽后⻔程序。

病毒：一种可以自我复制并传播，感染计算机和网络系统的恶意软件(Malware)，它能损害数据、系统功能或拦截正常的计算机操作。

木⻢：伪装成合法程序或文件，以欺骗用户下载或安装，窃取敏感数据或执行其他恶意活动。

肉鸡/跳板机/傀儡机：攻击者通过技术手段控制的电脑、手机、服务器，用于实现攻击者目的。

二、命令类别

EXP：利用系统漏洞进行攻击的代码。

POC：用来验证漏洞存在的一段代码。

Payload：指成功exp之后，真正在目标系统执行的代码或指令。

Shellcode：是Payload的一种，由于其建立正向/反向shell而得名。

Webshell：可以在网站上执行命令和其他操作的脚本。

Shell ：系统命令权限。

三、漏洞类别

        0 day漏洞（Zero-day Vulnerability）：0 day 漏洞指的是已经存在但尚未被软件开发者知晓或修复的安全漏洞。

        1 day 漏洞（One-day Vulnerability）：1 day 漏洞指的是已经被软件开发者知晓但尚未修复的安全漏洞。

        N day 漏洞（N-day Vulnerability）：N day 漏洞指的是已经被软件开发者知晓，漏洞的修复补丁已经发布 n 天，但由于各种原因受害者仍未打补丁。这里的N 可以是任意大于1的整数，表示修复程序发布的时间延迟。N day 漏洞可能存在更长的时间窗口，使得攻击者有更多的机会利用漏洞进行攻击。软件的开发者应尽快修复 N day 漏洞，以减少系统受到攻击的风险。

        例如，2017年5月12日爆发的永恒之蓝漏洞，虽然微软在 WannaCry 爆发之前就已经对其发布了补丁，但从爆发至今，还一直持续的被黑客所利用。

四、漏洞分类

        硬件漏洞（H ardware Vulnerability）：硬件漏洞指的是计算机系统或设备中的安全弱点或缺陷，可能会被攻击者利用来违反系统的安全性。这些漏洞通常是由于硬件设计或制造过程中的错误、缺陷或漏洞而引起的。硬件漏洞可能导致系统的不安全性、数据泄露、未授权访问或破坏等问题。例如，硬件漏洞可能包括芯片级别的漏洞、固件漏洞或物理接口的漏洞。

        软件漏洞（So ftware Vulnerability）：软件漏洞指的是计算机程序或应用程序中存在的安全弱点或缺陷，可能会被攻击者利用来违反系统的安全性。这些漏洞通常是由于设计、编码或配置错误而引起的。软件漏洞可能导致未授权访问、数据泄露、远程执行代码、拒绝服务攻击等问题。常⻅的软件漏洞类型包括缓冲区溢出、代码注入、身份验证绕过、跨站脚本攻击等。

        网络漏洞（N etwork Vulnerability）：网络漏洞指的是网络基础设施、协议或配置中存在的安全弱点或缺陷，可能会被攻击者利用来违反网络的安全性。这些漏洞通常与网络通信、数据传输或网络设备有关。网络漏洞可能导致未授权访问、数据泄露、拒绝服务攻击、中间人攻击等问题。常⻅的网络漏洞包括不安全的网络协议、弱密码策略、未经身份验证的访问等。

        人员漏洞（H uman Vulnerability）：人员漏洞指的是由于人为因素导致的安全弱点或缺陷，可能会被攻击者利用来违反系统的安全性。这些漏洞通常与人员的行为、安全意识、训练或管理有关。人员漏洞可能包括密码泄露、社会工程攻击、内部威胁或人为错误等。攻击者可以利用这些漏洞获取敏感信息、绕过安全措施或破坏系统的安全性。