滲透測試相關名詞解釋

 

1.1 一些前置知識（包含但不限於）

腳本（asp、php、jsp）
html（css、js、html）
HTTP協議
CMS（B/S）
1.2 肉雞

被黑客入侵併被長期駐紮的計算機或服務器。能夠隨意控制，能夠是任意系統的設備，對象能夠是企業，我的，政府等等全部單位。

1.3 抓雞

利用使用量大的程序的漏洞，使用自動化方式獲取肉雞的行爲。

1.4 Webshell

經過Web入侵的一種腳本工具，能夠據此對網站服務進行必定程度的控制。

1.5 漏洞

硬件、軟件、協議等等的可利用安全缺陷，可能被攻擊者利用，對數據進行篡改，控制等。

1.6 木馬

經過向服務端提交一句簡短的代碼，配合本地客戶端實現webshell功能的木馬。

<%eval request(「pass」)%>

<%execute(request(「pass」))%>

request(「pass」)接收客戶端提交的數據，pass爲執行命令的參數值。

eval/execute    函數執行客戶端命令的內容

1.7 提權

操做系統低權限的帳戶將本身提高爲管理員權限使用的方法。

1.8 後門

黑客爲了對主機進行長期的控制，在機器上種植的一段程序或留下的一個」入口」。

1.9 跳板

使用肉雞IP來實施攻擊其餘目標，以便更好的隱藏本身的身份信息。

1.10 旁站入侵

即同服務器下的網站入侵，入侵以後能夠經過提權跨目錄等手段拿到目標網站的權限。常見的旁站查詢工具備：WebRobot、御劍、明小子和web在線查詢等

1.11 C段入侵

即同C段下服務器入侵。如目標ip爲192.168.180.253 入侵192.168.180.*的任意一臺機器，而後利用一些黑客工具嗅探獲取在網絡上傳輸的各類信息。經常使用的工具備：在windows下有Cain，在UNIX環境下有Sniffit, Snoop, Tcpdump, Dsniff 等。

1.12 黑盒測試

在未受權的狀況下，模擬黑客的攻擊方法和思惟方式，來評估計算機網絡系統可能存在的安全風險。

黑盒測試不一樣於黑客入侵，並不等於黑站。黑盒測試考驗的是綜合的能力（OS、Datebase、Script、code、思路、社工）。思路與經驗積累每每決定成敗。

1.13 白盒測試

相對黑盒測試，白盒測試基本是從內部發起。白盒測試與黑盒測試偏偏相反，測試者能夠經過正常渠道向被測單位取得各類資料，包括網絡拓撲、員工資料甚至網站或其它程序的代碼片段，也可以與單位的其它員工（銷售、程序員、管理者……）進行面對面的溝通。

1.13 黑白盒的另外一種說法

知道源代碼和不知道源代碼的滲透測試。這時，黑盒測試仍是傳統的滲透測試，而白盒測試就偏向於代碼審計。

1.14 APT攻擊

Advanced Persistent Threat，高級可持續性攻擊，是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。

1.極強的隱蔽性
2.潛伏期長，持續性強
3.目標性強
滲透測試相關資源

原文連接: https://www.apedear.com/3548.html