【赛博保安】安全日记之常用术语(一)

---

• "企业的信息安全治理水平，直接取决于安全团队人员的技术专业度，而非运营经验值。所谓的技术，并非指渗透和挖洞的能力，而是指软件开发、IT 架构、网络拓扑相关的知识和经验。

• 站在乙方的角度来看，技术薄弱的安全人员，通常面临着较大的沟通障碍和成本，因为他们难以理解和区分不同安全技术和产品之间的差异。更难以理解自身企业的 IT 和技术现状，无法做出有效且大胆的决策，通常容易被大品牌厂商引导或者选择尽量不作为以此求稳。最终在各方妥协和博弈之下，做出花大钱，成效较差的短期决策。而这些决策，往往在下一任上任之时，予以推翻。

• 相反，拥有较强技术背景的安全团队，非常明确知道自己想要什么，不会被厂商引导，相对不在意厂商在“付费安全排行榜”中的名次。在企业内部面对业务团队的挑战时，通常也能占有主动权，做出正向的决策，既帮助企业省钱，也帮助企业打下长治久安的基础。"

  ——————引用自 [安全工程的兴起及其如何改变未来的网络安全]
  

职责所在，需要接触一些安全方面的知识，记录下常用术语，以备不时之需。

安全日记之常用术语

• 1、常用术语
• • 1.1、POC、EXP、Payload和Shellcode
  • 1.2、攻击工具
  • • 1.2.1、肉鸡
    • 1.2.2、僵尸网络
    • 1.2.3、木马
    • 1.2.4、网页木马
    • 1.2.5、Rootkit
    • 1.2.6、蠕虫病毒
    • 1.2.7、震网病毒
    • 1.2.8、勒索病毒
    • 1.2.9、挖矿木马
    • 1.2.10、攻击载荷
    • 1.2.11、嗅探器Sniffer
    • 1.2.12、恶意软件
    • 1.2.13、间谍软件
    • 1.2.14、后门
    • 1.2.15、漏洞
    • 1.2.16、0day漏洞
    • 1.2.17、1day漏洞
    • 1.2.18、Nday漏洞
  • 1.3、攻击方法
  • • 1.3.1、挂马
    • 1.3.2、挖洞
    • 1.3.3、加壳
    • 1.3.4、注入
    • 1.3.5、软件脱壳
    • 1.3.6、免杀
    • 1.3.7、暴力破解
    • 1.3.8、洪水攻击
    • 1.3.9、SYN攻击
    • 1.3.10、DoS攻击
    • 1.3.11、DDoS攻击
    • 1.3.12、抓鸡
    • 1.3.13、端口扫描
    • 1.3.14、花指令
    • 1.3.15、反弹端口
    • 1.3.16、鱼叉攻击
    • 1.3.17、钓鲸攻击
    • 1.3.18、水坑攻击
    • 1.3.19、嗅探
    • 1.3.20、APT攻击
    • 1.3.21、C2
    • 1.3.22、供应链攻击
    • 1.3.23、渗透
    • 1.3.24、横移
    • 1.3.25、跳板
    • 1.3.26、网马
    • 1.3.27、拖库
    • 1.3.28、撞库
    • 1.3.29、CC攻击
    • 1.3.30、WebShell
    • 1.3.31、跨站攻击
    • 1.3.32、ARP攻击
    • 1.3.33、Shellcode
  • 1.4、攻击者
  • • 1.4.1、暗网
    • 1.4.2、黑帽黑客
    • 1.4.3、白帽黑客
    • 1.4.4、红帽黑客
    • 1.4.5、红队
    • 1.4.6、蓝队
    • 1.4.7、紫队
  • 1.5、软硬件
  • • 1.5.1、加密机
    • 1.5.2、CA证书
    • 1.5.3、SSL证书
    • 1.5.4、防火墙
    • 1.5.5、IDS
    • 1.5.6、NIDS
    • 1.5.7、IPS
    • 1.5.8、堡垒机
    • 1.5.9、防毒墙
    • 1.5.10、NAC
    • 1.5.11、UTM
    • 1.5.12、数据库审计
    • 1.5.13、DLP
    • 1.5.14、VPN
    • 1.5.15、SD-WAN
    • 1.5.16、网关
    • 1.5.17、WAF
    • 1.5.18、蜜罐Honeypot
    • 1.5.19、网络靶场
  • 1.6、技术与服务
  • • 1.6.1、内网
    • 1.6.2、南北向流量
    • 1.6.3、东西向流量
    • 1.6.5、态势感知
    • 1.6.5、探针
    • 1.6.6、全流量检测
    • 1.6.7、元数据
    • 1.6.8、微隔离
    • 1.6.9、逆向
    • 1.6.10、风控
    • 1.6.11、渗透测试
    • 1.6.12、安全众测
    • 1.6.13、SDL
    • 1.6.14、代码审计
    • 1.6.15、CVE
    • 1.6.16、CNVD
    • 1.6.17、SRC
    • 1.6.18、反弹
    • 1.6.19、ATT&CK
  • 1.7、Web架构
  • • 1.7.1、站库分离
    • 1.7.2、前后端分离
    • 1.7.3、集成式环境
    • 1.7.4、Docker容器
    • 1.7.5、建站分配站
    • 1.7.6、静态网站
    • 1.7.7、伪静态
  • 1.8、WAF防护
  • 1.9、CDN内容分发服务
  • 1.10、OSS对象存储服务
  • 1.11、正向代理和反向代理
  • 1.12、APP架构

1、常用术语

假如对常用术语很熟悉了解，可以直接跳转到Web架构，希望对你有所启发。

1.1、POC、EXP、Payload和Shellcode

• POC: Proof of Concept,概念验证，常指一段漏洞证明的代码
• EXC： Exploit，中文是利用，指利用系统漏洞进行攻击的动作、
• Payload: 有效载荷，指成功 exploit 利用之后，真正在目标系统执行的代码或指令
• Shellcode：Shell代码，是 Payload 的一种，由于其建立正向/反向shell而得名

POC和EXC是两个对立面，POC是验证，EXC是利用

• POC是用来证明漏洞存在的，EXP是用来利用漏洞的，两者通常不是一类，或者说，PoC通常是无害的，Exp通常是有害的，有了POC，才有EXP。
• Payload有很多种，它可以是Shellcode，也可以直接是一段系统命令。同一个Payload可以用于多个漏洞，但每个漏洞都有其自己的EXP，也就是说不存在通用的EXP。
• Shellcode也有很多种，包括正向的，反向的，甚至meterpreter。

1.2、攻击工具

1.2.1、肉鸡

所谓“肉鸡”是一种很形象的比喻，比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备，用于发动网络攻击。

例如在2016年美国东海岸断网事件中，黑客组织控制了大量的联网摄像头用于发动网络攻击，这些摄像头则可被称为“肉鸡”。

1.2.2、僵尸网络

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

僵尸网络是一个非常形象的比喻，众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被攻击者执行各类恶意活动（DDOS、垃圾邮件等）利用的一种基础设施。

1.2.3、木马

就是那些表面上伪装成了正常的程序，但是当这些程序运行时，就会获取系统的整个控制权限。

有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等等。

1.2.4、网页木马

表面上伪装成普通的网页或是将恶意代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的电脑上来自动执行将受影响的客户电脑变成肉鸡或纳入僵尸网络。

1.2.5、Rootkit

Rootkit是攻击者用来隐藏自己的行踪和保留root）访问权限的工具。

通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解（破解）的方式获得对系统的普通访问权限，进入系统后，再通过对方系统存在的安全漏洞获得系统的root或system权限。然后，攻击者就会在对方的系统中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐蔽。

1.2.6、蠕虫病毒

它是一类相对独立的恶意代码，利用了联网系统的开放性特点，通过可远程利用的漏洞自主地进行传播，受到控制终端会变成攻击的发起方，尝试感染更多的系统。

蠕虫病毒的主要特性有：自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。

1.2.7、震网病毒

是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。

1.2.8、勒索病毒

主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

1.2.9、挖矿木马

一种将PC、移动设备甚至服务器变为矿机的木马，通常由挖矿团伙植入，用于挖掘比特币从而赚取利益。

1.2.10、攻击载荷

攻击载荷（Payload）是系统被攻陷后执行的多阶段恶意代码。通常攻击载荷附加于漏洞攻击模块之上，随漏洞攻击一起分发，并可能通过网络获取更多的组件。

1.2.11、嗅探器Sniffer

就是能够捕获网络报文的设备或程序。嗅探器的正当用处在于分析网络的流量，以便找出所关心的网络中潜在的问题。

1.2.12、恶意软件

被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。

1.2.13、间谍软件

一种能够在用户不知情的情况下，在其电脑、手机上安装后门，具备收集用户信息、监听、偷拍等功能的软件。

1.2.14、后门

这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置，用于访问、查看或者控制这台主机。

这些改动表面上是很难被察觉的，就好象是入侵者偷偷的配了一把主人房间的钥匙，或者在不起眼处修了一条按到，可以方便自身随意进出。

通常大多数木马程序都可以被入侵者用于创建后门（BackDoor）

1.2.15、漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

奇安信集团董事长齐向东在《漏洞》一书中指出，软件的缺陷是漏洞的一个主要来源，缺陷是天生的，漏洞是不可避免的。

1.2.16、0day漏洞

0day中的0表示Zero，早期的0day表示在软件发行后的24小时内就出现破解版本。

在网络攻防的语境下，0day漏洞指那些已经被攻击者发现掌握并开始利用，但还没有被包括受影响软件厂商在内的公众所知的漏洞，这类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。

1.2.17、1day漏洞

指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较高，但往往官方会公布部分缓解措施，如关闭部分端口或者服务等。

1.2.18、Nday漏洞

指已经发布官方补丁的漏洞。通常情况下，此类漏洞的防护只需更新补丁即可，但由于多种原因，导致往往存在大量设备漏洞补丁更新不及时，且漏洞利用方式已经在互联网公开，往往此类漏洞是黑客最常使用的漏洞。

例如在永恒之蓝事件中，微软事先已经发布补丁，但仍有大量用户中招。

1.3、攻击方法

1.3.1、挂马

就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

1.3.2、挖洞

漏洞挖掘

1.3.3、加壳

就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。

目前较常用的壳有UPX，ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

1.3.4、注入

Web安全头号大敌。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。

注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现。

1.3.5、软件脱壳

顾名思义，就是利用相应的工具，把在软件“外面”起保护作用的“壳”程序去除，还文件本来面目，这样再修改文件内容或进行分析检测就容易多了。

1.3.6、免杀

就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

1.3.7、暴力破解

简称“爆破”。黑客对系统中账号的每一个可能的密码进行高度密集的自动搜索，从而破坏安全并获得对计算机的访问权限。

1.3.8、洪水攻击

洪水攻击将攻击流量比作成洪水，只要攻击流量足够大，就可以将防御手段打穿。DDoS攻击便是洪水攻击的一种。

1.3.9、SYN攻击

利用操作系统TCP协调设计上的问题执行的拒绝服务攻击，涉及TCP建立连接时三次握手的设计。

1.3.10、DoS攻击

拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。

1.3.11、DDoS攻击

分布式DOS攻击，常见的UDP、SYN、反射放大攻击等等，就是通过许多台肉鸡一起向你发送一些网络请求信息，导致你的网络堵塞而不能正常上网。

1.3.12、抓鸡

即设法控制电脑，将其沦为肉鸡。

1.3.13、端口扫描

端口扫描是指发送一组端口扫描消息，通过它了解到从哪里可探寻到攻击弱点，并了解其提供的计算机网络服务类型，试图以此侵入某台计算机。

1.3.14、花指令

通过加入不影响程序功能的多余汇编指令，使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来识别病毒。如果我们把病毒的头和脚颠倒位置，杀毒软件就找不到病毒了”。

1.3.15、反弹端口

有人发现，防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。

于是，利用这一特性，反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端)，就给人“被控制端主动连接控制端的假象，让人麻痹大意。

1.3.16、鱼叉攻击

鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中，主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击，具有更高的成功可能性。

不同于撒网式的网络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往“见鱼而使叉”。

为了实现这一目标，攻击者将尝试在目标上收集尽可能多的信息。通常，组织内的特定个人存在某些安全漏洞。

1.3.17、钓鲸攻击

捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。

1.3.18、水坑攻击

顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

1.3.19、嗅探

嗅探指的是对局域网中的数据包进行截取及分析，从中获取有效信息。

1.3.20、APT攻击

Advanced Persistent Threat，即高级可持续威胁攻击，指某组织在网络上对特定对象展开的持续有效的攻击活动。

这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

1.3.21、C2

C2 全称为Command and Control，命令与控制，常见于APT攻击场景中。

1.3.22、供应链攻击

是黑客攻击目标机构的合作伙伴，并以该合作伙为跳板，达到渗透目标用户的目的。

一种常见的表现形式为，用户对厂商产品的信任，在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。

所以，在某些软件下载平台下载的时候，若遭遇捆绑软件，就得小心了！

1.3.23、渗透

就是通过扫描检测你的网络设备及系统有没有安全漏洞，有的话就可能被入侵，就像一滴水透过一块有漏洞的木板，渗透成功就是系统被入侵。

1.3.24、横移

指攻击者入侵后，从立足点在内部网络进行拓展，搜寻控制更多的系统。

1.3.25、跳板

一个具有辅助作用的机器，利用这个主机作为一个间接工具，来入侵其他主机，一般和肉鸡连用。

1.3.26、网马

就是在网页中植入木马，当打开网页的时候就运行了木马程序。

1.3.27、拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。

在网络攻击领域，它被用来指网站遭到入侵后，黑客窃取其数据库文件。

1.3.28、撞库

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

1.3.29、CC攻击

即Challenge Collapsar，名字来源于对抗国内安全厂商绿盟科技早期的抗拒绝服务产品黑洞，攻击者借助代理服务器生成指向受害主机的涉及大量占用系统资源的合法请求，耗尽目标的处理资源，达到拒绝服务的目的。

1.3.30、WebShell

Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门，可以上传下载文件，查看数据库，执行任意程序命令等。

1.3.31、跨站攻击

通常简称为XSS，是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

1.3.32、ARP攻击

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

1.3.33、Shellcode

一段可被操作系统无需特别定位处理的指令，通常在利用软件漏洞后执行的恶意代码，shellcode为二进制的机器码，因为经常让攻击者获得shell而得名。

1.4、攻击者

1.4.1、暗网

暗网并不是那种灰色交易遍布，人们谁也不认谁，很罪恶的地方，充满着人性的负面。暗网其实就是带密码的空间，就像我们的qq空间。网络世界10%在表面，剩下的就是暗网。浏览器的搜索引擎其实就是利用爬虫把各个网页资源整合到一起，他也有进不去的地方，就像地图软件除了用卫星还有人工测绘人员，他们就像爬虫一样，总有到达不了的暗网。这里提到tor浏览器（洋葱），这个浏览器的原理就是a如果想把消息给b，a把消息给c，c给d，d给e。经过层层代理，导致无法确定人们的踪迹，所以慢慢的这里就成为了罪犯最好的集聚地。

1.4.2、黑帽黑客

以非法目的进行黑客攻击的人，通常是为了经济利益。他们进入安全网络以销毁、赎回、修改或窃取数据，或使网络无法用于授权用户。

1.4.3、白帽黑客

是那些用自己的黑客技术来进行合法的安全测试分析的黑客，测试网络和系统的性能来判定它们能够承受入侵的强弱程度。

1.4.4、红帽黑客

事实上最为人所接受的说法叫红客。 红帽黑客以正义、道德、进步、强大为宗旨，以热爱祖国、坚持正义、开拓进取为精神支柱，红客通常会利用自己掌握的技术去维护国内网络的安全，并对外来的进攻进行还击。

1.4.5、红队

通常指攻防演练中的攻击队伍。

1.4.6、蓝队

通常指攻防演练中的防守队伍。

1.4.7、紫队

攻防演练中新诞生的一方，通常指监理方或者裁判方。

1.5、软硬件

1.5.1、加密机

主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。

1.5.2、CA证书

为实现双方安全通信提供了电子认证。

在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。

数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

1.5.3、SSL证书

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。

1.5.4、防火墙

主要部署于不同网络或网络安全域之间的出口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

1.5.5、IDS

入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。IDS是不同于防火墙。防火墙只能屏蔽入侵，而IDS却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应。

1.5.6、NIDS

是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker 。

通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器

1.5.7、IPS

全称为Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。

或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。

1.5.8、堡垒机

运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

1.5.9、防毒墙

区别于部署在主机上的杀毒软件，防毒墙的部署方式与防火墙类似，主要部署于网络出口，用于对病毒进行扫描和拦截，因此防毒墙也被称为反病毒网关。

1.5.10、NAC

全称为Network Access Control，即网络准入控制，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。

借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

1.5.11、UTM

即Unified Threat Management，中文名为统一威胁管理，最早由IDC于2014年提出，即将不同设备的安全能力（最早包括入侵检测、防火墙和反病毒技术），集中在同一网关上，实现统一管理和运维。

1.5.12、数据库审计

能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。

它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

1.5.13、DLP

数据防泄漏，通过数字资产的精准识别和策略制定，主要用于防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

1.5.14、VPN

虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问。

1.5.15、SD-WAN

即软件定义广域网，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式云化。通常情况下，SD-WAN都集成有防火墙、入侵检测或者防病毒能力。

1.5.16、网关

通常指路由器、防火墙、IDS、VPN等边界网络设备。

1.5.17、WAF

即Web Application Firewall，即Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

1.5.18、蜜罐Honeypot

是一个包含漏洞的系统，它摸拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。

1.5.19、网络靶场

主要是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博网络空间攻防作战环境，能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。

1.6、技术与服务

1.6.1、内网

通俗的讲就是局域网，比如网吧、校园网、公司内部网等都属于此类。查看IP地址，如果是在以下三个范围之内，就说明我们是处于内网之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

1.6.2、南北向流量

通常指数据中心内外部通信所产生的的流量。

1.6.3、东西向流量

通常指数据中心内部不同主机之间互相通信所产生的的流量。

1.6.5、态势感知

是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

1.6.5、探针

也叫作网络安全探针或者安全探针，可以简单理解为赛博世界的摄像头，部署在网络拓扑的关键节点上，用于收集和分析流量和日志，发现异常行为，并对可能到来的攻击发出预警。

1.6.6、全流量检测

全流量主要体现在三个“全”上，即全流量采集与保存，全行为分析以及全流量回溯。通过全流量分析设备，实现网络全流量采集与保存、全行为分析与全流量回溯，并提取网络元数据上传到大数据分析平台实现更加丰富的功能。

1.6.7、元数据

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。

1.6.8、微隔离

顾名思义是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。

1.6.9、逆向

常见于逆向工程或者逆向分析，简单而言，一切从产品中提取原理及设计信息并应用于再造及改进的行为，都是逆向工程。

1.6.10、风控

也称大数据风控，是指利用大数据分析的方法判断业务可能存在的安全风险，目前该技术主要用于金融信贷领域，防止坏账的发生。

1.6.11、渗透测试

为了证明网络防御按照预期计划正常运行而提供的一种机制，通常会邀请专业公司的攻击团队，按照一定的规则攻击既定目标，从而找出其中存在的漏洞或者其他安全隐患，并出具测试报告和整改建议。

1.6.12、安全众测

借助众多白帽子的力量，针对目标系统在规定时间内进行漏洞悬赏测试。您在收到有效的漏洞后，按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费，性价比较高。同时，不同白帽子的技能研究方向可能不同，在进行测试的时候更为全面。

1.6.13、SDL

全称为Security Development Lifecycle，翻译为安全开发生命周期，是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程，最早由微软提出。

1.6.14、代码审计

顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

1.6.15、CVE

全称Common Vulnerabilities and Exposures，由于安全机构Mitre维护一个国际通用的漏洞唯一编号方案，已经被安全业界广泛接受的标准。

1.6.16、CNVD

国家信息安全漏洞共享平台，由国家计算机应急响应中心CNCERT维护，主要负责统一收集、管理国内的漏洞信息，其发布的漏洞编号前缀也为CNVD。

1.6.17、SRC

即Security Response Center，中文名为安全应急响应中心，主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。

1.6.18、反弹

将权限重新反弹到其他地方去，比如你用WebShell获取到权限，你可以将权限转到其他服务器上，就叫反弹。

1.6.19、ATT&CK

可以简单理解为描述攻击者技战术的知识库。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。

1.7、Web架构

1.7.1、站库分离

所谓的站库分离，就是网站和数据库不在同一台服务器中。服务器我们放置网站的文件，数据库单独放到云数据库或者单独服务器存放数据库，实现站库分离。

• 站库分离可以有效的提高数据库和网站文件的高效独立的运行，提高网站和数据库的运行空间。
• 站库分离可以有效的提高服务器的安全，数据库单独放在云数据库，比我们服务器上安全性和运行效率更高。
• 站库分离可以有效的提高我们的运维，比如搬迁服务器直接迁移数据，网站文件基本是固定的，即便服务器有问题，我们可以用本地备份的网站文件快速部署。

有时候存储也是使用OSS，对象存储服务。

1.7.2、前后端分离

这个对于开发很熟悉了已经，前端JS框架，使用API传输数据，这块我就不介绍了。主要说一下这个的好处：

• 前端页面基本不存在漏洞。
• 后端管理大部分不在同域名。
• 前端获得权限有可能不影响后端。一般前后台的权限校验是共存的，比如若依，可以参考我写的若依源码解读。

1.7.3、集成式环境

打包类集成化环境，比如宝塔，使用宝塔直接搭建WordPress网站。

[!note]

一般自己安装环境、搭建WordPress服务和宝塔搭建WordPress服务有什么区别呢？

• 宝塔即使拿到权限后，也没法进行文件管理，因为目录被锁定。同时也不能执行命令。
• 但是假如我们自己搭建的服务，有可能是不安全的，对于目录就需要自己进行权限设定。比如文件上传的目录一般最好是只读权限。

1.7.4、Docker容器

虚拟化技术独立磁盘空间，攻击者即使拿到权限，也只是虚拟空间的权限。这里就涉及到 Docker逃逸 这个专业名词了。

• Docker逃逸可以理解为从虚拟空间逃逸到宿主机去。

1.7.5、建站分配站

比如我的个人网站使用netlify、vercel进行托管，域名是用他们的二级域名。那么攻击者即使测试网站最后也是打到平台上，我知识个用户而已。

1.7.6、静态网站

这个就很有意思，可以理解为纯HTML的页面。无漏洞！如果有js，那么可能会传输数据，就可能会有漏洞。

1.7.7、伪静态

动态伪装成静态网站，静态页面对SEO有很大益处，对服务器的负载很小，但静态页面的缺点是不能随时更新，因此伪静态页面的主要作用就是让搜索引擎把自己的网页当做静态页面来处理，有利于SEO，同时又能动态更新网站内容。

1.8、WAF防护

WAF就是Web应用防火墙，国内著名一点的开源WAFA有长亭科技的雷池WAF。WAF分为嵌入式和非嵌入式：

• 嵌入式WAF：网站内置的WAF，也叫自定义WAF，直接镶嵌在代码中，即开发人员为了网站的安全，会在可能遭受共级的地方增加一些安全防护的代码，比如过滤敏感字符，对潜在的威胁字符进行编码、转义等，网站内置的WAF与业务更加契合。
• 非嵌入式WAF：
  • 硬件WAF:以硬件形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听时只记录攻击不拦截。比如天清WAF等
  • 软件WAF：以软件的形式安装在服务器上，可以直接监测服务器是否存在webshell、是否有文件被创建等。比如安全狗、云锁、D盾、雷池WAF。
  • 云WAF：一般以反向代理的形式工作，通过配置NS或CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将被认为无害的请求报文再发送为网站服务器进行请求，可以认为是带防护功能的CDN。比如阿里云云盾、腾讯云WAF

1.9、CDN内容分发服务

CDN是内容分发服务，旨在提高访问速度。隐藏真实源IP，导致对目标测试错误。一般可以在腾讯云、阿里云搜索CDN加速服务。如果你不熟悉CDN加速服务，可以看一下下面这篇文章。

• 浅析一下CDN内容分发网络

1.10、OSS对象存储服务

OSS对象存储服务，可以理解成资源托管的地方。比如阿里云OSS，优点是可以将资源统一存储，方便管理、同时还提供备份、容灾等常见功能。

• 对象，指的是非结构化的静态资源，如图片、音频、视频、日志文件等
• OSS提供的服务有存储、访问、备份、容灾等
• OSS一般指第三方云厂商提供的对象存储服务，当然也可以自己在本地机房搭建自己的对象存储，如使用Minio等搭建分布式文件存储服务，用作对象存储。

OSS详解

上传的文件或者解析的文件均来自OSS资源，是非常安全的。即使被攻击者植入后门，也不会造成什么影响。唯一需要注意的是Accesskey隐患，假如Accesskey被泄露，攻击者可以直接进入OSS。

OSS相关术语如下：

1. 存储空间 Buket：存储空间是用于存储对象的容器，所有的对象都存储在某个存储空间中。
2. 对象/文件 Object：对象是OSS存储数据的基本单元，也被称为OSS的文件，对象由元信息（Object Meta）、用户数据（Data）和文件名（Key）组成。对象由存储空间内部唯一的key来标识。
3. 地域 Region：地域表示OSS的数据中心所在的物理位置，可以根据费用、请求来源等来选择数据存储的地域
4. 访问域名 Endpoint：Endpoint表示对外提供服务的访问域名，OSS以 HTTP restful API 对外提供服务，当访问不同地域的时候，需要不同的域名。通过内网和外网访问同一个地域所需要的域名是不同的。
5. 访问密钥 AccessKey：简称AK，指的是访问身份验证中用到的AccessKeyId和AccessKeySecret。OSS通过使用AccessKeyId和AccessKeySecret对称加密的方法来验证某个请求发送者的身份。AccessKeyId用来标识用户，AccessKeySecret用于加密签名字符串和OSS用来验证签名字符串的密钥，AccessKeySecret必须保密。

1.11、正向代理和反向代理

1. 正向代理：客户端找服务器，举个例子，你用梯子，你自己的客户端 - 开启代理 - 访问国外服务器。
2. 反向代理：服务器找服务器，举个例子，你访问服务器A，服务器A将流量打入服务器B，这样你就可以访问服务器B。例如我们微服务中常见的网关模块，网关通过负载均衡和反向代理将请求打入不同的微服务模块。

关于这里是nginx的基础，可以查看我的nginx的笔记

那么反向代理在安全部分需要注意什么呢？

• 假如我们开测服务器，那么我们访问的目标只是一个代理，并非真实的应用服务器。这下就明白为什么老用nginx进行反向代理了吧哈哈！因为这个反代理出的站点和真实应用可能毫无关系。

1.12、APP架构

App应用开发的架构大概如下：

1. 原生开发：安卓一般使用java语言开发。
2. 使用HTML5语言开发：使用H5开发可以多端复用，比如web端、ios端
3. 使用flutter开发：flutter是近几年谷歌推出来的一款UI框架，支持跨平台，体验可媲美原生。
4. 常规Web开发：这个就是开发一个网站，然后加入app的壳。比如我自己的个人网站，可以加app的壳，网上免费体验的有很多，直接根据url生成app。缺点比较多，反应速度慢，但是成本低。