渗透测试术语
poc 严重漏洞是否存在代码
exp 漏洞利用 攻击
webshell web下的shell 后门
shell 与系统交互的通道工具
反向 由受害者到攻击者
正向 攻击者到受害者
提权 提高早服务器中的权利,通过漏洞提升webshell权利
getshell 获取shell的过程
0day 未被纰漏的漏洞
1day 已经公开的漏洞
nday n年前的漏洞
DDos 拒绝服务攻击 (cc攻击 web 层的DDoS)
wef web应用防火墙
scan 扫描
shellcode 缓冲区溢出使用的二进制代码
cve 全球漏洞编号
cvss 可用性 ,机密性,完整性
通用型漏洞 普遍性,大规模,影响广泛
跳板(代理) 用于伪装自己,代理进入内网
生产网 业务核心,正在线上有实际业务的网络
测试网 测试业务系统的网络
隧道 网络通道私密性,稳定性、
cdn 部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块
idc 数据中心,机房
ips 入侵防御系统
idp 入侵检测
态势感知 监控流量业务等,发现入侵检测
蜜罐 用来诱惑攻击者
漏洞靶场 漏洞环境
社会工程学 对人信息收集整理猜测,建立关联,建立密码字典。人际交流
钓鱼 伪造短信,邮件,微信,qq
鱼叉式钓鱼 内部关系进行针对性钓鱼
远控 服务端,客户端
AV 反病毒软件
icmp 网络诊断工具