渗透测试专业术语

 

POC  POC= Proof of Concept(漏洞验证)

一段说明或者一个攻击的样例,使得能够确认这个漏洞是真实存在的。

 

EXP  EXP= Exploit(漏洞利用)

漏洞利用是指由攻击者或渗透测试者利用一个系统、应用或服务中的安全漏洞,所进行的攻击行为。攻击者使用渗透攻击去入侵系统时,往往会造成开发者所没有预期到的一种特殊结果。流行的渗透攻击技术包括缓冲区溢出、web应用程序漏洞攻击(比如代码执行、命令执行),及利用配置错误等。通常所说的EXP即一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。

 

Payload  Payload(攻击载荷)

攻击载荷是我们期望目标系统在被渗透攻击之后去执行的代码,在Metasploit框架中可以自由地选择、传送和植入。例如,反弹式shel是种从目标主机到攻击主机创建网络连接,并提供 Windows命令行She的攻击载荷,而 bindshel攻击载荷则在目标主机上将命令行she绑邦定到打开的监听端口,攻击者可以连接这些端口来取得shel交互。攻击载荷也可能是简单的在目标操作系统上执行一些命令,如添加用户账号等。

 

Shellcode

Shellcode是在渗透攻击时作为攻击载荷运行的一组机器指令Shellcode通常以汇编语言编写。在大多数情况下,目标系统执行了Shellcode这一组指令之后,才会提供一个命令行shell或者 MeterpreteShell，这也是 Shellcode名称的由来。

 

0Day

Oday在计算机领域中,零日漏洞或零时差漏洞(英语:zero- dayexploit)通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击(英语zero- dayattack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。零日漏洞及其利用代码不仅对犯罪黑客而言,具有极高的利用价值,一些国家间谍和网军部队,例如美国国家安全局和美国网战司令部也非常重视这些信息。

 

参考文献：信息安全与管理专业教学资源库《渗透测试专业术语》