(個人經驗,僅供參考,錯誤之處,敬請諒解)
相關名詞與解釋
在學習Web安全時,不免遇到不少陌生的名詞,但是搜索又很難找到恰當又容易理解的解釋,這裏個人結合其他大佬和老師的解釋給出一些名詞的理解:
- 0Day
指的是官方尚未發佈補丁的漏洞,或者說首次發現(尚未公佈的)漏洞 - 1Day
指的是官方發佈了補丁,但該漏洞仍然大量未修復,存在一定可利用性 - CVE
“Common Vulnerabilities & Exposures”公共漏洞和暴露,由美國一個非盈利組織對其認可的漏洞進行編號,以對漏洞進行標識 - NVD
"National Vulnerabilities Database"國家漏洞數據庫 - CNNVD
上面的詞加了CN,不用多說 - EXP
exploit ,可進行攻擊漏洞的代碼(腳本) - POC
“Proof Of Concept” 驗證性測試,譯爲爲觀點提供證據,可以理解爲證明漏洞存在的代碼 - payload
這個名詞說實話,個人還是沒有一個較爲明確的判斷,翻譯爲“有效載荷、有效負荷“,在很多地方都有運用,有的地方可以理解爲向服務器提交的原生數據,有的地方是提交給服務器的代碼,也有理解說是最爲關鍵的信息數據。大致總結來說是一類爲達到一些目的而向服務器提交的數據載荷。 - shellcode
顧名思義,直譯爲提權代碼,是放在payload中的 - 提權
很簡單,爲了拿到更高的權限的操作 - 越權
分爲水平越權和垂直越權,同一等級權限的用戶越權是水平,不同等級用戶越權是垂直(通常都是由低向高,高權限向低權限不可能的吧,已有的權限還需要越什麼) - ATP
“Advanced Persistent Threats” 高級持續性威脅,指某些組織或機構有計劃地攻擊所造成的影響。
Tips
有些名詞在滲透中是這種解釋,可能在其他方面或領域就不一樣,很容易理解,exploit在pwn中就是相當於挖掘【漏洞】所以,正如語言的學習,看語境,