网安专业术语名词解释

[TOC]

攻击介质

漏洞

漏洞是硬件、软件、通信协议在设计、开发、部署或维护过程中产生的本质性缺陷，其成因涵盖代码逻辑错误、权限设计疏漏、协议规范缺陷、硬件物理特性瑕疵等。这类缺陷使得攻击者能够以未授权的方式绕过系统安全策略，实现对系统的非法访问、数据窃取、篡改、破坏，甚至完全掌控系统。例如，操作系统内核的内存溢出漏洞，可被利用向内存写入恶意代码，进而执行非授权操作；Web应用中未做参数校验的SQL注入漏洞，能让攻击者直接操控数据库，窃取或篡改核心数据。

木马

木马全称为“特洛伊木马”，得名于古希腊特洛伊战争的典故，是一类伪装成合法、实用程序（如办公软件、娱乐插件、系统工具）的恶意程序。其核心特征是“伪装性”和“隐蔽性”，用户在不知情的情况下安装后，木马会在系统后台静默运行，为攻击者开放非法的权限通道。攻击者可通过木马远程获取目标主机的文件访问权、屏幕监控、键盘记录、摄像头控制等权限，甚至能操控主机发起后续攻击。常见的木马类型包括远程控制木马（如灰鸽子、PcShare）、密码窃取木马（专门盗取各类账号密码）等，且木马本身不具备自我复制能力，区别于病毒的核心特征之一。

后门

后门是开发者、维护者或攻击者为了便于后续对系统进行非授权访问，刻意在硬件、软件、固件或系统配置中留下的隐蔽入口。后门的形式多样，既可以是代码层面的隐藏功能（如特定的登录口令、未公开的API接口），也可以是系统配置层面的特殊权限账户、修改后的访问控制规则，甚至是硬件层面的预留调试接口。合法场景下，部分开发者会预留后门用于系统维护，但更多时候后门由攻击者通过漏洞植入，成为长期控制目标系统的“秘密通道”，且后门通常具备绕过常规身份验证、审计日志记录的特性，难以被发现。

病毒

病毒是一种依附于其他可执行程序（宿主程序）的恶意软件（Malware），核心特征是自我复制能力和传染性。当宿主程序被执行时，病毒会将自身代码复制到其他程序、系统分区或存储介质中，实现跨文件、跨主机传播。病毒的破坏形式多样，轻则篡改系统配置、删除普通文件，重则格式化硬盘、加密数据（勒索病毒是病毒的变种形式）、拦截键盘输入窃取敏感信息，甚至破坏硬件（如早期的CIH病毒可改写BIOS芯片）。病毒的传播途径包括移动存储设备、网络下载、邮件附件等，其传播依赖宿主程序的运行，这也是与木马、蠕虫的核心区别（蠕虫无需宿主，可独立传播）。

EXP

EXP是Exploit（漏洞利用）的缩写，指专门用于利用特定漏洞的程序、代码片段或脚本。一个完整的EXP通常包含漏洞触发逻辑和后续操作指令两部分：首先通过精准的代码构造触发目标系统的漏洞（如触发缓冲区溢出、绕过权限校验），然后执行预设的恶意操作（如获取命令执行权限、创建管理员账户、下载恶意程序）。EXP具有极强的针对性，一款EXP仅适用于特定版本、特定环境下的漏洞，且通常与漏洞的披露同步出现——0day漏洞对应的EXP具有极高的攻击价值，因为官方尚未发布修复补丁，防御方难以防范。

肉鸡

“肉鸡”是网络黑产中的通俗说法，指被攻击者控制的、失去自主控制权的计算机（个人PC、服务器）、移动设备甚至物联网设备（摄像头、路由器）。攻击者通常通过扫描公网漏洞、投放木马、钓鱼攻击等方式“捕获”肉鸡，然后将其纳入控制网络（僵尸网络）。肉鸡的用途包括：发起DDoS攻击、窃取数据、挖矿、转发恶意流量（隐藏攻击者真实IP）、作为跳板进行内网渗透等。肉鸡的控制权通常由攻击者通过C2服务器管理，大量肉鸡组成的僵尸网络是网络攻击的重要“武器库”。

黑客类型

白帽子

白帽子（White Hat）也被称为“道德黑客”，是具备专业网络安全技术的合法从业者，其核心行为准则是“授权测试、发现漏洞、协助修复”。白帽子通常受企业、政府机构委托，在获得正式授权的前提下，模拟黑客攻击手段检测系统安全漏洞，随后向委托方提交详细的漏洞报告、风险评估及修复建议。白帽子的行为受法律保护，且需遵守行业规范（如不泄露漏洞细节、不破坏系统数据），是网络安全防御体系的重要组成部分，常见于安全公司、企业安全部门、渗透测试团队。

黑帽子

黑帽子（Black Hat）是为了谋取非法利益（金钱、数据、控制权）或满足恶意目的（破坏、报复、窃取机密），未经授权对计算机系统、网络实施攻击的黑客。其行为违反《网络安全法》《刑法》等法律法规，常见手段包括利用0day漏洞攻击企业服务器、窃取用户隐私数据贩卖、发起DDoS攻击敲诈勒索、制作传播木马病毒等。黑帽子是网络安全的主要威胁，其攻击行为具有隐蔽性、破坏性和牟利性，且通常会利用匿名网络（如Tor）、肉鸡、虚拟货币等方式规避追踪。

灰帽子

灰帽子（Gray Hat）介于白帽子和黑帽子之间，其核心特征是“无授权测试，但无直接牟利目的”。灰帽子可能出于技术炫耀、寻求认可或“善意提醒”的目的，未经授权入侵他人系统发现漏洞，但通常不会破坏数据或窃取信息，部分灰帽子会将漏洞细节告知被攻击方（或公开），但该行为仍可能违反法律——因为未经授权的系统访问本身已构成侵权。灰帽子的行为边界模糊，既不同于白帽子的“合法授权”，也区别于黑帽子的“恶意牟利”，但其行为本质仍存在法律风险。

测试类型

黑盒测试

黑盒测试（Black Box Testing）是渗透测试中最接近真实攻击场景的测试方式，测试人员对目标系统的内部结构、代码逻辑、网络拓扑、配置信息等一无所知，仅掌握目标的外部访问入口（如域名、IP地址）。测试过程中，测试人员模拟黑帽子的攻击思路，通过端口扫描、漏洞探测、社会工程学、模糊测试等方式，逐步发现系统漏洞并验证攻击路径。黑盒测试的优势是能真实反映系统对外的安全状态，缺点是测试效率较低，难以定位漏洞的根本原因，常用于对企业对外服务（如官网、APP、API接口）的安全评估。

白盒测试

白盒测试（White Box Testing）是在完全掌握目标系统内部信息的前提下开展的渗透测试，测试人员可获取系统源码、网络拓扑图、服务器配置、数据库结构、权限体系等全部核心信息。测试过程中，测试人员可通过代码审计、逻辑漏洞分析、配置检查等方式，精准定位深层次漏洞（如代码逻辑错误、权限设计缺陷、加密算法滥用）。白盒测试的优势是测试深度深、漏洞定位精准，缺点是依赖内部信息，无法反映真实攻击的隐蔽性，常用于企业内部系统、核心业务系统的安全检测。

灰盒测试

灰盒测试（Gray Box Testing）结合了黑盒测试和白盒测试的特点，测试人员掌握部分目标系统的内部信息（如知道某一模块的功能逻辑、拥有低权限账户、了解部分网络拓扑），以此为基础开展半授权的渗透测试。例如，测试人员拥有目标网站的普通用户账户，以此为切入点，测试账户权限提升、越权访问等漏洞；或掌握目标企业的部分内网拓扑，测试内网横向移动的可能性。灰盒测试兼顾了测试的真实性和效率，是企业渗透测试中最常用的方式之一。

命令类

Shell

Shell（壳）是操作系统提供的命令行交互界面，是用户与操作系统内核沟通的“桥梁”，常见的Shell包括Linux下的Bash、Sh，Windows下的CMD、PowerShell。在渗透测试中，“拿Shell”是核心目标之一，指攻击者获得目标主机的Shell执行权限，能够远程执行系统命令（如创建账户、查看文件、启动服务）。Shell的获取方式包括利用漏洞执行系统命令、通过木马植入远程Shell、破解服务器密码登录后获取Shell等，获得Shell意味着攻击者已掌握目标主机的基础控制权。

Webshell

Webshell是针对Web服务器的恶意脚本（如PHP、ASP、JSP脚本），通过Web入侵手段（如文件上传漏洞、代码注入漏洞）植入到目标网站的目录中，攻击者可通过浏览器、专用工具访问该脚本，进而控制Web服务器。Webshell的核心特征是“通过Web端口操作”，无需直接登录服务器，隐蔽性极强——常见的Webshell包括一句话木马（如<?php @eval($_POST['pass']);?>）、大马（功能更全面的Webshell，支持文件管理、数据库操作、命令执行）。Webshell是Web渗透中最常用的“后门工具”，也是WAF（Web应用防护系统）的主要检测目标。

POC

POC是Proof of Concept（概念验证）的缩写，指用于验证漏洞是否真实存在的代码、脚本或操作步骤。与EXP不同，POC的核心目的是“验证漏洞存在”，而非利用漏洞执行恶意操作，通常仅会执行简单的测试指令（如返回特定字符串、创建临时文件）。POC是安全研究者、白帽子的常用工具：在漏洞披露前，研究者通过POC确认漏洞的真实性；企业安全人员可通过POC批量检测内部系统是否存在某一漏洞。POC通常会在漏洞公开后被广泛传播，成为防御方检测漏洞的重要依据。

Payload

Payload（有效攻击载荷）是嵌入在攻击代码中的核心执行内容，是攻击者真正想要传递给目标系统并执行的指令或数据。Payload的形式多样，可分为命令执行Payload（如执行whoami获取当前用户）、代码注入Payload（如SQL注入语句）、木马下载Payload（如下载并运行远程木马）、内存执行Payload（如Shellcode）等。Payload通常会被加密、编码（如Base64、URL编码），以绕过WAF、杀毒软件的检测，其设计目标是“隐蔽执行、达成攻击目的”——例如，在缓冲区溢出攻击中，Payload就是触发漏洞后执行的核心恶意代码。

Shellcode

Shellcode是一段用于利用软件漏洞的机器码（十六进制形式），因最初的用途是让攻击者获得Shell而得名。Shellcode具有体积小、可执行、跨平台（需适配不同架构）的特点，通常被嵌入到EXP中，在漏洞触发后被目标系统执行。由于Shellcode直接操作系统内核，无需依赖系统库，因此能绕过部分安全防护机制。常见的Shellcode类型包括绑定Shell（在目标主机开放端口，等待攻击者连接）、反向Shell（主动连接攻击者的服务器），且Shellcode通常会经过免杀处理（如加密、变形），避免被杀毒软件识别。

攻击类型

CC攻击

CC攻击（Challenge Collapsar，挑战黑洞）是DDoS攻击的变种，专门针对Web应用的层7（应用层）攻击。攻击者通过控制大量代理服务器、肉鸡，向目标网站的特定页面（如动态页面、搜索页面、登录页面）发送大量合法的HTTP/HTTPS请求，消耗目标服务器的CPU、内存、带宽资源，导致页面加载缓慢甚至无法访问。CC攻击的核心特征是“请求合法、难以拦截”——不同于UDP洪水攻击的虚假数据包，CC攻击的请求符合HTTP协议规范，WAF需通过行为分析（如请求频率、来源IP、会话特征）才能识别，常被用于攻击电商网站、游戏服务器、政企官网。

DoS攻击

DoS攻击（Denial of Service，拒绝服务攻击）是通过单一或少量攻击源，向目标系统发送大量恶意请求、利用系统漏洞，或消耗目标的网络带宽、计算资源，导致目标系统无法为合法用户提供服务。DoS攻击的常见方式包括：TCP SYN洪水攻击（耗尽服务器的连接队列）、UDP洪水攻击（占用目标带宽）、Ping洪水攻击（ICMP数据包轰炸）、利用系统漏洞的拒绝服务攻击（如触发缓冲区溢出导致系统崩溃）。DoS攻击的目标是“使系统不可用”，而非窃取数据，但其造成的业务中断会带来直接经济损失。

DDoS攻击

DDoS攻击（Distributed Denial of Service，分布式拒绝服务攻击）是DoS攻击的升级版，攻击者控制大量肉鸡（僵尸网络），从多个IP地址、多个地理位置向目标发起攻击，其攻击流量远大于单源DoS攻击，防御难度更高。常见的DDoS攻击类型包括：流量型攻击（UDP洪水、SYN洪水、反射放大攻击，如DNS反射、NTP反射，利用公共服务器放大攻击流量）、应用层攻击（即CC攻击）、协议层攻击（如TCP连接耗尽、碎片包攻击）。DDoS攻击是网络黑产中敲诈勒索的常用手段，攻击者通常要求目标企业支付虚拟货币，否则持续攻击。

C2

C2（Command and Control，命令与控制）是APT攻击、僵尸网络攻击中的核心基础设施，指攻击者用于与受控主机（肉鸡、恶意软件）进行通信的服务器集群。C2服务器的核心功能是向受控主机下发攻击指令（如发起DDoS攻击、窃取数据、下载新的恶意程序），并接收受控主机回传的信息（如窃取的密码、系统截图、网络拓扑）。C2的通信方式具有极强的隐蔽性，常用的通信协议包括HTTP/HTTPS（伪装成正常网页访问）、DNS（利用DNS查询传递指令）、SMTP（邮件协议），甚至会使用加密通信、跳转变频等方式规避检测。防御方的核心目标之一是识别并阻断C2通信，切断攻击者与受控主机的联系。

APT攻击

APT攻击（Advanced Persistent Threat，高级可持续性攻击）是由组织化的攻击团队（如国家背景的黑客组织、大型黑产团伙）发起的、针对特定目标的长期网络攻击。APT攻击的核心特征包括：

高级性：使用0day/1day漏洞、定制化恶意软件、复杂的社会工程学手段，攻击手法远超普通黑客；
持续性：攻击周期长达数月甚至数年，攻击者会持续收集目标信息、渗透内网、维持控制权；
针对性：目标通常是政府机构、军工企业、金融机构、大型科技企业，旨在窃取核心机密、商业数据或进行长期监控；
隐蔽性：攻击过程中尽量避免触发安全告警，通过合法账户、正常通信协议、文件加密等方式隐藏踪迹。

APT攻击的典型流程包括：情报收集→鱼叉钓鱼/水坑攻击植入恶意软件→C2通信→内网横向移动→提权→数据窃取→长期潜伏。

提权

提权（Privilege Escalation）是攻击者将低权限账户/进程提升为高权限（如Linux的root权限、Windows的Administrator/System权限）的过程，是渗透测试/攻击中的关键步骤。提权的方式分为两类：

纵向提权：同一用户的权限提升，如普通用户通过系统漏洞获取管理员权限；
横向提权：获取同级别其他用户的权限（如窃取其他普通用户的密码），但通常“提权”特指纵向提权。

常见的提权手段包括：利用操作系统内核漏洞提权（如Linux的Dirty COW漏洞）、利用错误配置提权（如文件权限过大、服务以高权限运行）、利用第三方软件漏洞提权（如数据库、Web服务器的高权限进程）、破解高权限账户密码等。提权成功后，攻击者可完全掌控目标系统，进行数据篡改、后门植入、内网渗透等操作。

横向移动

横向移动（Lateral Movement）是内网渗透中的核心攻击手段，指攻击者在获取某一台内网主机的权限后，以该主机为跳板，向同一内网中的其他主机、服务器、网络设备发起攻击，扩大控制范围。横向移动的前提是攻击者已突破外网边界（如拿下Web服务器），并进入内网环境。常见的横向移动手段包括：

扫描内网存活主机、开放端口；
利用内网共享文件（SMB）的漏洞（如永恒之蓝漏洞）攻击相邻主机；
窃取内网账户凭证（如哈希值、明文密码），通过远程桌面（RDP）、SSH登录其他主机；
利用内网DNS、DHCP服务器的漏洞进行渗透；
植入内网木马，控制更多主机。

横向移动的最终目标是获取内网核心服务器（如数据库服务器、域控制器）的权限，窃取核心数据。

撞库攻击

撞库攻击是攻击者利用互联网上泄露的用户账号密码数据，批量尝试登录其他网站/APP，以获取用户在多个平台的通用账号密码。其核心原理是“用户复用密码”——大量用户会在不同平台使用相同的账号（如手机号、邮箱）和密码，攻击者将泄露的“账号-密码”组合整理成字典，通过自动化脚本批量登录目标平台。撞库攻击的实施成本低、成功率高，常见于电商、社交、金融类平台，攻击者可通过撞库获取用户的支付信息、隐私数据，甚至进行账号盗刷、诈骗。防御撞库的核心手段是强制用户开启二次验证（如短信验证码、人脸识别）、限制登录频率、检测异常登录行为。

挂马

挂马是攻击者将网页木马、恶意代码嵌入到目标网站的合法页面（如首页、文章详情页）中的攻击手段，当用户访问该页面时，恶意代码会自动执行，导致用户主机被植入木马、跳转至钓鱼网站或下载恶意软件。挂马的常见方式包括：

利用Web漏洞（如SQL注入、文件包含）修改网站页面代码；
入侵网站服务器，直接编辑网页文件；
利用第三方组件（如广告插件、评论系统）的漏洞植入恶意代码。

挂马的目标通常是流量较大的网站，攻击者可通过“一人挂马，万人中马”的方式批量获取肉鸡，是网络黑产中“抓鸡”的常用手段。

蜜罐

蜜罐（Honeypot）是一种主动的网络安全防御技术，本质是“诱敌深入”的情报收集系统。蜜罐会模拟存在漏洞的系统、服务、数据（如伪造的数据库、未打补丁的服务器、虚假的机密文件），吸引攻击者发起攻击，同时通过监控系统记录攻击者的IP地址、攻击手法、使用的工具、攻击路径等信息。蜜罐的核心价值是：

收集攻击情报，提前感知新型攻击手段；
分析攻击者的行为特征，优化防御策略；
迷惑攻击者，使其将精力消耗在蜜罐上，保护真实系统；
部分高交互蜜罐可实现反制，追踪攻击者的真实身份。

根据交互程度，蜜罐可分为低交互蜜罐（仅模拟基本服务，如端口开放）、中交互蜜罐（模拟部分系统功能）、高交互蜜罐（真实系统，仅做隔离处理）。

鱼叉攻击

鱼叉攻击（Spear Phishing）是针对性极强的网络钓鱼攻击，攻击者会先收集目标个人/企业的详细信息（如姓名、职位、邮箱、社交关系、业务往来），然后制作高度定制化的钓鱼邮件/链接，伪装成目标信任的对象（如同事、客户、银行、官方机构）发送。与普通钓鱼攻击的“撒网式”不同，鱼叉攻击的欺骗性极高——例如，攻击者伪装成企业CEO向财务人员发送邮件，要求紧急转账；或伪装成合作方发送含木马的合同附件。鱼叉攻击是APT攻击、企业数据泄露的主要初始手段，防御难度远高于普通钓鱼。

抓鸡

抓鸡是攻击者批量获取公网中存在漏洞的主机，并将其变为“肉鸡”的过程，是构建僵尸网络的核心步骤。抓鸡的典型流程包括：

扫描公网IP段，探测存在漏洞的主机（如未打补丁的Windows服务器、弱密码的路由器、存在漏洞的物联网设备）；
利用EXP自动攻击漏洞主机，植入木马/后门；
通过C2服务器控制已攻陷的主机，将其加入僵尸网络；
定期维护肉鸡，清理无用主机，补充新肉鸡。

抓鸡的工具通常是自动化的扫描+攻击脚本（如“扫鸡器”），攻击者可通过抓鸡获取数千甚至数万台肉鸡，用于发起DDoS攻击、挖矿、窃取数据等非法活动。

网络钓鱼(Phishing)

网络钓鱼是攻击者利用欺骗性的电子邮件、伪造的Web站点、虚假的短信，诱骗用户泄露敏感信息（如账号密码、银行卡号、身份证号、验证码）的攻击手段。“Phishing”由“Fishing”（钓鱼）和“Phone”（电话）组合而来，源于早期黑客通过电话诈骗获取信息，后延伸至网络场景。网络钓鱼的常见形式包括：

伪造银行、支付平台的登录页面，诱骗用户输入账号密码；
发送含钓鱼链接的邮件，声称“账号异常”“中奖通知”，引导用户点击；
仿冒运营商、政务平台发送短信，要求用户点击链接验证信息。

网络钓鱼的受害者多为普通用户，攻击者获取信息后会进行盗刷、诈骗、身份冒用等操作。

钓鲸攻击

钓鲸攻击（Whaling）是网络钓鱼的高级形式，专门针对企业高管、政府高官、行业领袖等“高价值目标”。攻击者会花费大量时间收集目标的详细信息（如公开演讲、社交动态、业务合作、家庭信息），制作高度个性化的钓鱼内容——例如，伪装成律师发送“法律函件”、伪装成合作伙伴发送“合同修订版”、伪装成家人发送“紧急求助信息”。钓鲸攻击的目标是获取企业核心机密（如商业计划、财务数据、客户信息）或诱导高管进行大额转账（如“紧急付款指令”），其造成的损失远大于普通钓鱼攻击。

水坑攻击

水坑攻击（Watering Hole Attack）是一种“守株待兔”式的攻击手段，攻击者先分析目标群体的上网行为（如经常访问的行业网站、论坛、下载站点），然后攻击这些“必经之路”的网站，植入恶意代码。当目标访问该网站时，恶意代码会自动执行，导致目标主机被攻陷。水坑攻击的核心逻辑是“瞄准目标的习惯，而非直接瞄准目标”，适用于攻击防御能力较强的组织（如政府机构、军工企业）——例如，攻击者发现某军工单位员工常访问某技术论坛，便攻陷该论坛并植入木马，从而获取该单位的内网权限。水坑攻击的隐蔽性极强，因为目标访问的是信任的网站，降低了警惕性。

防守类型

WAF

WAF（Web Application Firewall，Web应用防护系统）是部署在Web服务器前端的安全设备/软件，专门防御针对Web应用的攻击（如SQL注入、XSS跨站脚本、CSRF跨站请求伪造、文件上传、命令注入等）。WAF的核心工作原理是：

解析HTTP/HTTPS请求，检测请求中的恶意特征（如SQL注入语句、Shellcode）；
基于规则库、机器学习识别异常请求（如高频访问、异常参数、恶意UA）；
阻断恶意请求，记录攻击日志，并向管理员告警。

WAF分为硬件WAF、软件WAF（如ModSecurity）、云WAF（如阿里云盾、腾讯云WAF），是Web应用的第一道防线，但需定期更新规则库，否则无法防御新型攻击（如0day漏洞攻击）。

漏洞类型

0day

0day漏洞（0day Vulnerability）是指软件厂商、开发者完全未知的漏洞，且尚未发布任何修复补丁。“0day”中的“0”代表漏洞被发现后，厂商修复的天数为0——这类漏洞具有极高的攻击价值，因为防御方无法通过补丁修复，只能依靠应急响应、行为阻断等方式被动防御。0day漏洞通常被国家黑客组织、顶级黑产团伙垄断，用于APT攻击、定向勒索等高级攻击，其交易价格极高（可达数百万美元）。0day漏洞的披露方式分为“负责任披露”（研究者告知厂商并等待修复）和“黑市泄露”（直接出售给攻击者）。

day

1day漏洞是指厂商刚发布修复补丁，但漏洞细节已被公开，且大量目标系统尚未安装补丁的漏洞。“1day”中的“1”代表漏洞被厂商修复后的1天内（或短期内），此时网络上仍有大量未修复的系统，攻击者可快速开发EXP发起攻击。1day漏洞的攻击窗口期较短，但由于企业更新补丁需要时间（测试、部署、重启服务），因此仍具有较高的攻击成功率。例如，微软每月发布的“补丁星期二”中修复的漏洞，部分会在发布后被快速分析，形成1day EXP。

Nday

Nday漏洞是指已被公开披露一段时间（N天，N>1）的漏洞，且厂商已发布修复补丁。Nday漏洞是网络攻击中最常用的漏洞类型，因为其细节、EXP已广泛传播，攻击者可通过自动化工具批量扫描利用。例如，永恒之蓝（EternalBlue）漏洞是针对Windows SMB协议的Nday漏洞，至今仍被大量用于内网渗透、抓鸡等攻击。企业防御Nday漏洞的核心手段是及时安装补丁、关闭不必要的服务、配置WAF/IDS等安全设备。

其他

CMS

CMS（Content Management System，内容管理系统）是用于快速搭建和管理网站的软件系统，其核心是将网站的内容编辑、权限管理、模板设计、数据存储等功能模块化，无需用户编写复杂代码即可搭建网站。常见的CMS包括WordPress（博客/资讯类）、DedeCMS（织梦，国内常用）、Joomla、Discuz!（论坛类）、Shopify（电商类）。CMS的优势是降低了网站搭建门槛，但由于其开源、使用广泛，也成为攻击者的主要目标——攻击者会针对CMS的漏洞（如插件漏洞、后台权限漏洞、模板注入漏洞）发起攻击，植入Webshell、篡改网站内容。

IDS

IDS（Intrusion Detection System，入侵检测系统）是用于实时监控网络流量、系统日志、应用行为，识别并告警入侵行为的安全系统。IDS的核心功能是“检测”，而非“阻断”——它会分析网络数据包、系统调用、日志信息，对比攻击特征库（如已知的攻击指纹、异常行为模式），当发现疑似攻击（如端口扫描、SQL注入、恶意代码执行）时，立即向管理员发送告警信息，并记录攻击详情。IDS分为网络型IDS（NIDS，监控整个网络流量，如Snort）和主机型IDS（HIDS，监控单台主机的行为，如OSSEC）。IDS是安全监控的核心组件，但存在误报率高、无法主动阻断攻击的缺点，通常与IPS、WAF配合使用。

IPS

IPS（Intrusion Prevention System，入侵防御系统）是IDS的升级版，兼具“检测”和“阻断”功能。IPS部署在网络出入口、服务器前端，实时分析网络流量，当检测到恶意攻击（如DDoS攻击、SQL注入、漏洞利用）时，会立即采取阻断措施（如丢弃恶意数据包、关闭异常连接、封禁攻击IP），阻止攻击行为继续。IPS的核心优势是“主动防御”，但需精准识别攻击行为，避免误阻断合法流量。IPS通常与防火墙、IDS、WAF组成多层防御体系，是企业网络安全的核心设备之一。

VPN

VPN（Virtual Private Network，虚拟专用网）是在公共网络（如互联网）上构建的加密专用网络，用于实现安全的远程访问、数据传输。VPN的核心原理是：

加密：对传输的数据进行端到端加密（如IPSec、OpenVPN、SSL/TLS协议），防止数据被窃听、篡改；
隧道：将私有网络的数据包封装在公共网络的数据包中传输，隐藏真实的网络地址和数据内容；
身份验证：通过账号密码、证书、令牌等方式验证用户身份，确保只有授权用户可访问。

VPN的合法用途包括企业员工远程访问内网、分支机构之间的安全通信、保护公共网络下的隐私数据；但也被非法用于绕过网络审查、隐藏攻击源IP等违规行为，需遵守相关法律法规。

CTF

CTF（Capture The Flag，夺旗赛）是网络安全领域的技术竞技比赛，源于1996年DEF CON黑客大会，参赛者需通过解决网络安全技术挑战（如逆向工程、漏洞利用、密码学、隐写术、Web渗透）获取“旗帜（Flag）”，以得分高低决胜负。CTF的比赛形式包括：

解题赛（Jeopardy）：分模块出题（如Web、Pwn、Reverse、Crypto、Misc），解出题目获取Flag；
攻防赛（Attack-Defense）：参赛队伍维护自己的服务器，同时攻击其他队伍的服务器获取Flag；
混合赛：结合解题赛和攻防赛的特点。

CTF是培养网络安全人才的重要方式，国内外知名的CTF比赛包括DEF CON CTF、全国大学生信息安全竞赛CTF、HackTheBox、CTFtime等。

AWD

AWD（Attack With Defense，攻防对抗赛）是CTF的进阶形式，模拟真实的网络攻防场景，参赛队伍需同时完成“攻击”和“防御”两项任务：

防御：维护自己的服务器（如修复漏洞、配置安全策略、阻断攻击），防止被其他队伍攻击得分；
攻击：发现并利用其他队伍服务器的漏洞，获取Flag得分。

AWD比赛的核心是“实时对抗”，服务器会持续暴露在攻击环境中，参赛队伍需快速响应漏洞、修复缺陷、反击对手，更贴近企业实际的网络安全攻防场景。AWD是国内网络安全竞赛的主流形式，常用于选拔实战型安全人才。

Proxy(代理)

代理（Proxy）是位于客户端和目标服务器之间的中间服务器，客户端的网络请求先发送至代理服务器，再由代理服务器转发至目标服务器，目标服务器的响应则通过代理服务器返回给客户端。代理的核心用途包括：

隐私保护：隐藏客户端的真实IP地址，避免被目标服务器追踪；
访问控制：突破地域限制（如访问境外网站）、绕过企业内网的访问策略；
缓存加速：代理服务器缓存常用资源，提升访问速度；
安全防护：过滤恶意请求、检测病毒，保护客户端安全。

常见的代理类型包括HTTP代理、HTTPS代理、SOCKS5代理，其中匿名代理、高匿代理常用于隐藏真实IP，也是攻击者规避溯源的常用手段。

加壳/脱壳

“壳”是一段用于保护软件的程序，加壳（Packing）是将壳程序与原软件绑定，使原软件的代码被加密、压缩，只有壳程序先运行并解密后，原软件才能执行。加壳的核心目的是：

防反编译：避免攻击者通过反编译工具分析软件源码；
防篡改：检测软件是否被修改，防止植入恶意代码；
免杀：躲避杀毒软件的特征检测（恶意软件常用加壳实现免杀）。

脱壳（Unpacking）是加壳的逆过程，指攻击者通过分析壳的加密算法、运行逻辑，提取出未加密的原软件代码。脱壳是逆向工程的核心技能，安全研究者通过脱壳分析恶意软件的行为，攻击者则通过脱壳破解商业软件、分析漏洞。常见的加壳工具包括UPX、ASPack、VMProtect，脱壳工具包括OllyDbg、IDA Pro。

脱库

脱库是攻击者将目标网站、系统的数据库中的数据（如用户账号密码、个人信息、交易记录）完整导出的行为，是网络黑产中获取数据的核心手段。脱库的常见方式包括：

利用SQL注入漏洞直接导出数据库；
攻陷数据库服务器，通过数据库管理工具（如MySQL的mysqldump、SQL Server的备份功能）导出数据；
窃取数据库备份文件；
利用数据库弱密码登录后导出数据。

脱库后的数据通常会被出售到暗网，用于撞库、诈骗、身份冒用等非法活动，是用户信息泄露的主要原因之一。

社工库

社工库是攻击者将互联网上泄露的用户数据（如脱库数据、论坛泄露数据、运营商泄露数据）整合后形成的数据库，包含大量用户的账号、密码、手机号、身份证号、邮箱等信息。社工库的核心用途是：

撞库攻击：批量验证用户在其他平台的账号密码；
社会工程学攻击：利用库中的信息精准诈骗（如冒充客服告知用户账号异常）；
数据贩卖：将社工库按行业、数据类型拆分出售，获取非法利益。

社工库的存在严重侵犯用户隐私，且是网络诈骗的重要“数据源”，相关行为已触犯法律。

社会工程学

社会工程学（Social Engineering）是攻击者利用人的心理弱点（如信任、恐惧、贪婪、疏忽），通过欺骗、诱导、恐吓等手段，而非技术手段，获取敏感信息或实施攻击的方法。社会工程学的核心是“操纵人”，而非“攻击系统”，常见手段包括：

伪装身份：冒充客服、警察、同事、领导，获取用户信任；
恐吓诱导：声称“账号冻结”“涉嫌违法”，迫使用户泄露验证码、密码；
利益诱惑：以“中奖”“返利”“免费领取”为诱饵，诱骗用户点击链接、转账；
物理渗透：冒充维修工进入企业机房，窃取设备、数据。

社会工程学攻击难以通过技术手段防御，需通过用户安全教育、制定严格的信息验证流程来防范。

旁站

旁站是指同一台服务器上部署的多个网站（域名），即“同一IP下的其他站点”。在渗透测试中，攻击者若无法直接攻陷目标网站，会尝试攻击目标网站的旁站——因为旁站可能存在更低的安全防护级别（如弱密码、未打补丁的CMS），攻陷旁站后，可通过服务器的文件共享、权限配置等方式横向渗透，最终获取目标网站的权限。例如，攻击者发现目标网站A部署在IP 1.1.1.1上，该IP还部署了网站B、C，攻击者先攻陷网站B，再通过服务器的文件系统访问网站A的源码和数据。

堡垒机

堡垒机（Operation & Maintenance Audit System）是用于监控和审计运维人员操作行为的安全设备，部署在运维人员与服务器/网络设备之间，所有运维操作必须通过堡垒机进行。堡垒机的核心功能包括：

身份认证：集中管理运维人员的账号、密码、权限，支持多因素认证；
操作审计：记录运维人员的所有操作（如命令执行、文件传输、远程登录），生成审计日志；
权限控制：精细化分配运维权限，避免越权操作；
风险告警：实时检测违规操作（如删除核心文件、修改配置），立即告警并阻断。

堡垒机是企业内网安全的核心设备，可有效防范运维人员的误操作、内鬼泄露数据、权限滥用等风险。

科学上网

“科学上网”是民间对绕过网络审查、访问境外受限内容的俗称，通常指利用VPN、代理、翻墙软件等技术，突破国家网络监管的限制。需要明确的是，未经批准使用此类技术访问境外受限内容，违反《中华人民共和国网络安全法》《计算机信息网络国际联网管理暂行规定》等法律法规，属于违法行为。此类行为不仅会泄露个人隐私，还可能被境外势力利用，危害国家安全，因此需严格遵守相关法律规定。

黑产

黑产（网络黑产）是指以互联网为媒介，利用网络技术实施的、危害计算机信息系统安全和网络空间秩序的非法产业体系，已形成完整的产业链条，包括上游（漏洞挖掘、工具开发）、中游（攻击实施、数据窃取）、下游（数据贩卖、诈骗、洗钱）。常见的黑产类型包括：

数据黑产：脱库、撞库、贩卖用户信息；
攻击黑产：DDoS攻击敲诈、刷量、刷单；
诈骗黑产：网络钓鱼、杀猪盘、电信诈骗；
挖矿黑产：控制肉鸡挖矿、偷取算力；
账号黑产：盗号、养号、贩卖游戏账号/社交账号。

网络黑产的年产值规模巨大，严重危害网络安全和社会稳定，是公安部门的重点打击对象。

红队

红队（Red Team）是在网络攻防演习、安全测试中扮演“攻击者”的团队，其核心任务是模拟真实的黑客攻击，尽可能突破目标的防御体系，发现安全漏洞和防御短板。红队的攻击手段与真实黑客一致，包括情报收集、社会工程学、漏洞利用、内网渗透、数据窃取等，且需在演习规则内开展（如不破坏核心业务、不泄露真实数据）。红队的价值是帮助企业发现隐藏的安全风险，优化防御策略，提升应急响应能力。