术语说明

本模块介绍渗透测试相关的术语说明。

黑盒测试

渗透测试中的一种方法，测试人员对被测试系统了解甚少或不了解，模拟攻击者的角色进行测试，不具备内部信息。

白盒测试

渗透测试中的一种方法，测试人员具有对被测试系统的完全了解，包括系统架构、源代码等，模拟攻击者的角色进行测试。

灰盒测试

渗透测试中介于黑盒测试和白盒测试之间的一种方法，测试人员具有部分关于系统的信息，但不完全了解系统内部的细节。

社会工程学

一种攻击手法，通过利用人类的社交工程和心理学来获取敏感信息，如通过欺骗、伪装或社交工具获取用户凭据等。

漏洞扫描

使用自动化工具对目标系统进行扫描，以查找已知的安全漏洞和弱点。

渗透测试框架

一套工具、技术和方法的集合，用于执行渗透测试活动，如Metasploit、Burp Suite、OWASP ZAP等。

0day漏洞

指已经被攻击者利用，但尚未被软件供应商知晓或修复的安全漏洞。

横向渗透

攻击者在已经侵入的系统内部移动，探索和攻击其他系统或网络。

持久性访问

攻击者在目标系统上保持持续的访问权限，以便在需要时进行后续攻击或数据窃取。

特权升级

攻击者通过利用系统或应用程序中的漏洞，将自己的权限提升到更高的权限级别，以获取更多的系统访问权限。

垂直渗透

攻击者通过从一个用户账户升级到另一个具有更高权限的用户账户，以获取更高级别的访问权限。

水平渗透

攻击者通过获取同一权限级别下其他用户的凭据或权限，以扩大其在系统中的访问范围。

钓鱼攻击

通过伪造电子邮件、网站等手段，诱使用户泄露敏感信息的一种网络攻击手段。

暴力破解

尝试所有可能的密码组合，直到找到正确的密码为止的攻击方法。

字典攻击

使用预先准备好的常用密码列表，尝试破解目标系统的密码。

SQL注入

通过在Web应用程序的输入字段中插入恶意SQL代码，来操控数据库的一种攻击手段。

XSS攻击

将恶意脚本注入到Web页面中，当其他用户访问该页面时，恶意脚本会在他们的浏览器上执行的一种攻击手段。

CSRF攻击

利用用户已登录的状态，诱使用户执行非预期操作的一种攻击手段。

DDoS攻击

通过大量请求，使目标服务器资源耗尽，无法正常提供服务的一种攻击手段。