黑客、灰客、白客、红、蓝客的区别？红蓝客二词似乎没有存在的必要！

……白客是没有滴，红客和黑客灰客和蓝客到是有，红客和黑客的区别，黑客：是 黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和 *** 知识，发现计算机和 *** 中存在的漏洞，喜欢挑战高难度的 *** 系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的 *** 。

黑客不干涉政治，不受政治利用，他们的出现推动了计算机和 *** 的发展与完善。黑客所做的不是恶意破坏，他们是一群纵横于 *** 上的大侠，追求共享、免费，提倡自由、平等。黑客的存在是由于计算机技术的不健全，从某中意义上来讲，计算机的安全需要更多黑客去维护。借用myhk的一句话“黑客存在的意义就是使 *** 变的日益安全完善”。红客： 红客是指维护国家利益，不去利用 *** 技术入侵自己国家电脑，而是维护正义，为自己国家争光的黑客。灰客：灰客是很让人简单理解的,大家应该知道黑与白的边界就是灰色地带吧!它不只渗透各个领域当中,即使在 *** 它也是有所影响的."灰客"是指继承了黑客的维护与骇客的入侵,双方面的条件下,但是灰客们从不介入PC当中,灰客的组织结构和黑客很像,但是灰客的编程人员只编辑灰色软件,以达到个人目的.在此强调一下,灰客们并不是受技术限制而得名,是他们只专攻于维护安全与入侵破坏俩者之间,可以把维护安全比做"白'把入侵破坏比做"黑",在不黑不白的制约下,即使非法入侵也很难被电脑人员发掘到.以上是我对"灰客"的理解,如发现新资料我会继续编辑的。蓝客： 蓝客联盟（中国蓝客联盟）是一个非商业性的民间 *** 技术机构，联盟进行有组织有计划的计算机与 *** 安全技术方面的研究、交流、整理与推广工作，提倡自由、开放、平等、互助的原则。同时还是一个民间的爱国团体，蓝盟的行动将时刻紧密结合时政，蓝盟的一切言论和行动都建立在爱国和维护中国尊严、 *** 与领土完整的基础上，蓝盟的声音和行动是中华民族气节的体现。哇好累，能给分吧，谢谢

《黑客帝国》中的红蓝药丸的作用是怎样的？

剧中对“红色药丸”的定义给出了解释：在1999年的电影《骇客帝国》中，主角尼奥要在红色药丸和蓝色药丸间，二选一。若服下蓝色药丸，尼奥将活在幻觉和愚蠢的消遣之中，而他因为服下了红色药丸，能清新意识到现实的真相，摆脱了邪恶者的利用。即“红色药丸”意味着一份“世人皆醉我独醒”的清明。

假定今天之前你一直生存在虚拟世界中

现在，放在你面前的有两颗药丸，红色药丸和蓝色药丸。选择红色药丸，幻境结束，欢迎你来到真实世界。我不能保证你什么，我唯一能保证的是，你看到的都是真实的。

选择蓝色药丸，你会忘记今天发生的一切，回到虚拟世界继续你的生活。注意：只能选一次。如果是你会怎么选？尼欧选了红色药丸。Neo,The One.那一个，救世主。

关于《黑客帝国》

1999年，《黑客帝国》横空出世，站在世纪之交遥望200年后。那时候人类光辉灿烂的文明不复存在，电脑人靠着母体繁衍新生，统治世界。在那里，每个人都生活在既定的生活轨迹中，被系统控制，在虚拟世界中，更新换代，生老病死。

这里的人，在系统的控制下，通过电脑波感知一切，情感，情绪，物质精神，全部的一切都被统治者简化为电脑讯号。仅存的人类被逼到世界角落，在真实而残败的世界里，活着，战斗。还在战斗着的人们，也会找到那些觉醒的人，为他们送去选择药丸的机会。

当然有人后悔，就连尼欧都有过这样的念头。甚至在第二部《黑客帝国·重装上阵》里，内部出现了叛徒，为了回到虚拟世界中而出卖大家。叛徒知道回到的世界是虚拟的，可是那里绚烂多姿，便无所谓真假。

何况真假本来模糊，假作真时真亦假，一块鲜嫩多汁的虚拟牛排，看起来是真的吃起来是真的，为什么它就不能是真的呢？ 一切都是选择。墨菲斯选择相信，崔妮媞选择爱，尼欧选择真相。

电影另一个重量级正面人物，伟大的先知。她预知一切，并为弱势的人类提供指点，但看上去无所不知并没有让她变得无所不能。相反，正因为她视野广阔而变得愈加攻防脆弱，知道的越多越能感知到自己的无能为力。

而区别只在于她做出了选择，她选择拯救世界，不计代价，就像尼欧做的那样。贯穿三部曲的还有一个问题，尼欧到底是不是救世主。从结果来看，尼欧是的。那么一个新的问题出现了。

是因为墨菲斯等人，包括后来尼欧自己也相信他是救世主，他才成了救世主。还是因为尼欧本身就是救世主，才让那么多人坚信他就是救世主。电影到最后其实也没有给出一个明确的答案，倒不是电影的态度暧昧，而是那已经不重要了。

他们相信，他们选择相信，这就够了。尼欧选择战斗，一直战斗下去，伙伴们选择相信他，并一起战斗下去。

跟选择相关的还有另一个词，命运。第二部里占据很大篇幅的开锁匠，在成功打开母体之门后牺牲。临终前，开锁匠非常坦然，这是我存在的理由，如今使命完成，这（牺牲）是我的命运。

看上去非常“工具人”，但是回头想想，一切依然是因为他做出了选择，从他回答中可以看出，他是可以选择一条更保险的路，跟系统站在一边的，但是他没有，它选择发挥自己的天才。

选择、命运，倒推下去还有一个词，因果。因为尼欧发现了系统漏洞开始查探，所以墨菲斯发现了他，选择相信他。因为尼欧选择了红色药丸，留在了真实世界，而开始了为人类而战。先知选择跟他们站在一起，崔妮媞选择相信尼欧相信爱。

结语

第三部里，因为选择而失去旧的皮囊换了一副躯体的先知跟大魔王对峙。大魔王：你早就知道。先知：不，但我选择相信。所以，红色药丸和蓝色药丸，你选啥

渗透测试和攻防演练的区别

区别是一个是模拟，一个是实战。红蓝队对抗便是针对此方面的测试。红蓝队对抗是以蓝队模拟真实攻击，红队负责防御（与国外刚好相反），最终的结果是攻防双方都会有进步。

红蓝队对抗能挖掘出渗透测试中所没注意到风险点，并且能持续对抗，不断提升企业系统的安全防御能力。因内部技术人员对自身 *** 状况比较了解，所以一般红蓝队对抗会选用内部企业人员。

渗透测试，是通过模拟黑客攻击行为，评估企业 *** 资产的状况。通过渗透测试，企业及机构可以了解自身全部的 *** 资产状态，可以从攻击角度发现系统存在的隐性安全漏洞和 *** 风险，有助于进一步企业构建 *** 安全防护体系。

渗透测试结束后，企业还可以了解自身 *** 系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段，让安全防护从被动转换成主动，正被越来越多企业及机构认可。

红蓝对抗之蓝队防守：ATT&CK框架的应用

文章来 源： HACK之道

企业大规模数字化转型的浪潮下，各类 *** 入侵事件频发、APT和黑客团伙活动猖獗，合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展，企业安全建设正逐步向实战化转型，而MITRE（一个向美国 *** 提供系统工程、研究开发和信息技术支持的非营利性组织）提出的ATTCK框架正是在这一过程中能够起到指导性作用的重要参考。

ATTCK框架在2019年的Gartner Security Risk Management Summit会上，被F-Secure评为十大关注热点。ATTCK是一套描述攻击者战术、技术和执行过程的共享知识库，能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATTCK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容，并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATTCK分为三个部分，分别是PRE-ATTCK，ATTCK for Enterprise和ATTCK for Mobile。其中，PRE-ATTCK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATTCK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗，目前已在多个领域得到较好的应用。

在红蓝对抗中，防守方都可以按照事前、事中、事后三个阶段进行应对，在ATTCK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板，包括但不限于：对外提供业务的Web系统、邮件系统、VPN系统，对内提供服务的OA系统、运维系统、开发环境，员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的，在企业内进行攻击面评估属于信息收集和脆弱性识别的过程，能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性，在红蓝对抗中防守方往往处于弱势，攻击方只需要单点突破即可，而防守方需要建立覆盖所有攻击面的纵深防御体系，很难做到万无一失。但在 信息收集阶段，是为数不多的防守方占优的阶段，主要原因包括：

1. 攻击方只能通过互联网 *** 息（Google、社交网站、Github）或传统社工方式获取部分企业信息，而防守方能够获得完整的企业内部信息，包括 *** 架构、业务系统、资产信息、员工信息等等，掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节，还能够结合诱骗或欺诈技术（Deception，如蜜罐），在攻击者能够获取到的信息中埋点，实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段（如重保时期）通过采取更严格的管控措施降低入侵风险， 通过有限的代价获取更大攻击者入侵难度提升 ，具有很高的投资回报率。例如，获取VPN通道，相当于突破了企业传统的防护边界，直接获取内网漫游的权限。在特定情况下，通过增强VPN防护，能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式，利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于之一种方式，关注VPN厂商漏洞披露信息、做好补丁升级管理，能够有效减少大部分威胁；对于利用0day漏洞攻击VPN获取远程访问权限的场景，通过VPN自身日志审计的方式，关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量，也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式，增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证（如绑定手机号短信验证），都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATTCK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖，对其分解可以提取每项攻击技术适用的攻击对象，参照企业内的资产和服务，评估攻击面暴露情况和风险等级，能够帮助制定有效的攻击面缩减、消除或监控手段。例如，防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求，是否存在敏感信息，并针对这些内容设定合规性要求和强制措施，以缩减该攻击面暴露情况。

综上，ATTCK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段，同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系，无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立，可以有效地把孤立的安全防御和安全审计手段串联起来，形成完整的企业安全态势，为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作：

1.数据源梳理： 数据是实现安全可见性的基础元素，缺少多维度和高质量的数据会严重影响监控覆盖面；同时，很多企业会为了满足 *** 安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此，在数据源的规划、管理上，由威胁驱动的数据源需求和由合规驱动的日志数据留存，存在匹配度低、使用率低、有效性低的诸多问题，需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时，需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如：针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险，需要采集哪些数据？首先需要考虑企业实际的邮件系统情况，比如使用自建的Exchange邮件服务，需要采集的数据包括：Exchange邮件追踪日志、IIS中间件日志、 *** TP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破？还是通过邮件协议认证爆破？还是通过Webmail或客户端接口撞库？不同的企业开放的邮箱访问方式不同，暴露的攻击面和遭受的攻击 *** 也有所区别，需要根据实情梳理所需的数据源。

在数据源梳理上，由于涉及到的威胁类型、攻击 *** 众多，考虑周全很困难，可以通过参考ATTCK框架选取企业相关的攻击技术，统计所需的数据源类型，并梳理数据源采集、接入优先级。关于数据源优先级筛选，2019年MITRE ATTCKcon 2.0会议上Red Canary发布的议题：Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序，如下图所示：

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等，不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括 *** 镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划，再通过实际的检测效果增强补充。

2. 检测规则开发：大数据智能安全平台（或参考Gartner所提的Modern SIEM架构）已逐步取代传统的SIEM产品，成为企业威胁感知体系的核心大脑。传统的攻击检测 *** 大多是基于特征签名（Signature），采用IOC碰撞的方式执行，在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题，且在防守方看来无法做到检测效果的衡量和能力评估。因此，新的检测理念需要从行为和动机出发，针对攻击者可能执行的操作完善审计和监控机制，再采用大数据关联分析的方式去识别攻击活动。

ATTCK框架在这里就起到了非常重要的参考作用，框架中的每项攻击技术，知识库都描述了相应的检测手段和过程，以T1110暴力破解为例，其Detection描述如下图所示。

虽然没有抽象出具体检测 *** 、检测规则，但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述，防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测 *** 和检测规则的开发、部署、测试。此外，高级持续性威胁（APT）使用了较多的白利用技术，无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼，打上技术标签，后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测 *** 结合，就提供了更加有效的补充手段。

综上，威胁感知体系的建立，需要通过数据源梳理和检测规则开发来完成基础准备工作，ATTCK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则，使防守方脱离安全可见性盲区，实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前 *** 安全防御能力并找出薄弱点，部分企业会进行内部红蓝对抗模拟演练，ATTCK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导：ATTCK框架包含了266种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现“发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，攻击技术链包括：钓鱼 - hta执行 - 服务驻留 - 凭证获取 - 远程系统发现 - 管理员共享，如下图红色链路所示。

2. 蓝队效果评估：内部模拟对抗是企业防守方检查实际威胁感知能力的更佳手段，对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时，防守方也可以通过模拟演练提炼极端情况下的缓解预案，包括：临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上，内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段，作为大考前的模拟考，对防守方具有很大的查漏补缺、优化完善的作用，而ATTCK框架在这个阶段，对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分，在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外，对于已突破边界防护进入内网漫游阶段的攻击者，基于ATTCK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATTCK主机威胁分布矩阵图，汇聚该主机上近期被检测到的所有攻击技术活动，然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型，监控主机是否失陷。异常模型从以下三个维度识别攻击：

1.攻击技术分布异常：多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常：主机上检测到大量攻击技术，与基线对比偏差很大。

3. 特定高置信度失陷指标：主机上触发了高置信度规则检测到的高风险告警（传统的Trigger机制）。

以下图为例，主机短时间内触发一系列“发现”战术下的攻击技术，这在日常运维中是较为少见的，与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作，故该机器风险很高，判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志（包括：进程活动、注册表活动、文件活动和 *** 活动），可以通过唯一进程ID（GUID）进行父子进程关联操作。当发现可疑进程活动时，能够回溯该进程的进程树，向上直到系统初始调用进程，向下包含所有子进程，并且为进程树中所有可疑进程添加ATTCK攻击技术标签，如 *** 请求、域名请求、文件释放等丰富化信息，帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例，发现可疑进程wscript.exe后溯源其进程树，其中标记了感叹号的子进程为命中了ATTCK攻击技术的进程，无感叹号的子进程也属于该可疑进程树下，有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息，可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为，这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程 *** 连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析，通过回溯攻击者入侵植入木马的手段，进一步排查是否存在数据缺失、规则缺失导致的攻击漏报；并通过关联所有具有相似行为的终端，确认是否存在其他未知失陷资产。

以上基于ATTCK框架建立的资产风险监控和可疑进程判定 *** ，能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹，并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路，更多与ATTCK框架适配的应用 *** 也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段，防守方对防御效果的评估是非常重要的环节。具体包括以下内容：

安全设备漏报分析：结合攻击方提供的报告，把各个攻击类型归属到相应的安全检测设备，查看相关设备的告警与报告中的攻击过程是否匹配，分析当前安全设备检测能力，较低检出率的设备需要后续协调厂商优化、更新规则等，以加强完善。

规则误报调优：在红蓝对抗开展阶段，为了确保对攻击方攻击过程的全面覆盖检测，通常会采用限制条件较宽松的规则检测模式，以防漏报对防守方造成的失分影响。例如，对暴力破解场景，触发告警的连续登录失败请求阈值可能设定的较低；对Webshell植入场景，可能对所有尝试上传动态脚本文件的行为都做监控或拦截，以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则，在红蓝对抗过程中能够尽量减少攻击漏报，具有比较好的效果；但同时，由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中，需要对产生误报的数据和误报原因进行统计分析，完善检测规则逻辑、边界条件限制，配置适当的白名单过滤，为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析：在红蓝对抗准备和红蓝对抗开展阶段，防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作，因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择，来挖掘是否存在先前遗漏的边缘资产、未知攻击面，通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析，补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进：针对红蓝对抗中发现的薄弱环节，防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大，重点关注的核心资产、靶标也有所差别，在准备过程中可能根据优先级选择了比较关键的几个领域优先开展，而通过红蓝对抗发现的其他薄弱环节，为后续开展哪些方向的工作提供了参考。例如，重点加强生产环境安全防护的，可能忽略了员工安全意识培训，导致被攻击者钓鱼的方式突破入侵；重点关注网站安全的，可能忽略了服务器存在其他暴露在外的端口或服务，被攻击者通过探测发现，利用已知漏洞或0day漏洞控制服务器绕过。结合ATTCK框架补充对应的数据源和攻击技术检测手段，可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程，也为后续持续优化改进提供参考。在这里ATTCK框架起到的作用主要是统一攻防双方语言，将每一个攻击事件拆分成双方都可理解的技术和过程，为红蓝对抗走向红蓝合作提供可能。

互联网安全术语

36条 *** 安全术语盘点

*** 安全

以下的 *** 安全常用术语，你都清楚吗？

01肉鸡

被黑客入侵并被长期驻扎的计算机或服务器。

02抓鸡

利用使用量大的程序的漏洞，使用自动化方式获取肉鸡的行为。

03webshell

通过web入侵的一种脚本工具，可以据此对网站服务进行一定程度的控制。

04一句话木马

通过向服务器提交一句简短的代码，配合本地客户端实现webshell功能的木马。

05提权

操作系统低权限的账户将自己提升为管理员权限使用的 *** 。

06后门

黑客为了对主机进行长期的控制，在机器上种植的一段程序或留下的一个入口。

07跳板

使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息。

08旁站入侵

即同服务器下的网站入侵。

090day 漏洞 和 0day 攻击

0day 漏洞，又称零日漏洞 「zero-day」。是已经被发现 (有可能未被公开)，而官方还没有相关补丁的漏洞。 利用0day漏洞的攻击行为即为0day攻击。

10CVE

CVE 的英文全称是 「Common Vulnerabilities Exposures」 公共漏洞和暴露，例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

11PoC

你可以理解成为漏洞验证程序。和一些应用程序相比，PoC 是一段不完整的程序，仅仅是为了证明提出者的观点的一段代码。

12Exp

漏洞利用程序。简单讲就是一段可以发挥漏洞价值的程序,可以用过漏洞拿到目标机器的权限。

13SSL

安 *** 接字层(SSL, Secure Sockets Layer)是一种协议，支持服务通过 *** 进行通信而不损害安全性。

14APT攻击

高级持续性攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

15旁注

旁注是一种入侵 *** ，利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。

16免杀

就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

17红蓝对抗

*** 安全中，红蓝对抗是一方扮演黑客（蓝军），一方扮演防御者（红军），进行 *** 安全的攻防对抗。

18Payload

Payload即有效载荷，被隐藏并且秘密发送的信息。

19DDOS攻击

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

20IDS

入侵检测系统(IDS是英文“Intrusion Detection Systems”的缩写)。专业上讲就是依照一定的安全策略，通过软、硬件，对 *** 、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证 *** 系统资源的机密性、完整性和可用性。

21IPS

入侵防御系统（IPS）,有过滤攻击功能的特种安全设备。一般布于防火墙和外来 *** 的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）。

22WAF防护

WAF英文全称为Web Application Firewall，中文含义为网站应用级入侵防御系统，是一项 *** 安全技术，主要用于加强网站服务器安全。

23MD5算法

信息摘要算法（英语：MD5 Message-Digest Algorithm），一种被广泛使用的密码散列函数，可以产生出一个128位的散列值（hash value），用于确保信息传输完整一致。

24黑盒测试

在未授权的情况下，模拟黑客的攻击 *** 和思维方式，来评估计算机 *** 系统可能存在的安全风险。

25白盒测试

白盒测试就偏向于代码审计。

26灰盒测试

基于白盒与黑盒测试之间的一种产物。

27僵尸 *** （Botnet）

僵尸 *** Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的 *** 。

28鱼叉攻击

“鱼叉攻击”通常是指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马。

29钓鱼式攻击

钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

30水坑攻击

水坑攻击”，黑客攻击方式之一，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

31社会工程学攻击

社会工程学（Social Engineering），是一种通过人际交流的方式获得信息的非技术渗透手段。

32TOP500姓名

中国常用姓名前500个,可以设置为攻击字典碰撞用户密码。

33DLL注入

将一个DLL放进某个进程的地址空间里，让它成为那个进程的一部分。

34SQL注入

SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

35sys驱动

驱动程序一般指的是设备驱动程序(Device Driver),是一种可以使计算机和设备通信的特殊程序。相当于硬件的接口,操作系统只有通过这个接口,才能控制硬件设备的工作。

36加壳

对可执行程序进行资源压缩的手段. 另一种形式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。

如有帮助，敬请采纳，谢谢！