安全科普：常用安全詞匯條記

與任又刖：

網絡安全行業細分領域眾多，閑暇時學習并整理一些常用詞匯給新入門的

同學，便于快速理解融入安全圈子。本文中詞匯來自于互聯網和個人理解,

作者出于對詞匯權威性的擔憂，僅作簡單描述和解釋說明而非定義，也歡迎

各位同行指正。

3

第一部分：基礎詞匯

什么是黑帽子、白帽子？口-2]

什么是掃描、爬蟲？[3?4]

什么是肉雞、掛馬、拿站、挖洞？[5-8]

什么是病毒、蠕蟲、木馬、后門、勒索軟件？[9-13]

什么是代理、跳板、反彈端口?[14-16]

什么是提權、橫移、嗅探、逃逸、重放？[17-21]

什么是逆向、破解、脫殼？[22-24]

什么是免殺、加殼、加花?[25-27]

什么是黑產、暗網、，1尸網絡？[28-30]

什么是POC、EXP、Payload.Shellcode?[31-34]

什么是漏洞、CVE、CVSS、CNVD?[35-38]

第二部分：攻擊技術詞匯

什么是社工、欺騙、中間人、劫持？[39-42]

什么是拖庫、撞庫、洗庫？[43?45]什么是ODay、IDay、NDay?[46-48]什

么是APT、C2?[49-50]什么是WebShelLGetShell?[51-52]什么是DoS、

DDoS、CC?[53-55]

什么是RCE、反序列化？[56-57]

什么是注入、SQL注入、旁注、C段攻擊？[58-61]

什么是XSS、CSRF、SSRF、XXE?[62-65]

什么是暴力破解、密碼噴灑？[66-6刀

什么是釣魚、魚叉、釣鯨、水坑？[68-71]

第一部分：基礎詞匯

什么是黑帽子、白帽子？

1黑帽子

黑帽子，也可稱為黑帽子黑客或黑客，一般指以非法目的、在未授權的

情況下，進行網絡攻擊、破壞、竊取的人，通常是為了經濟利益。他們進入

安全網絡以銷毀、贖回、修改或竊取數據，或使網絡無法用于授權用戶。而

早期的黑客一詞更多指熱心于計算機技術、水平高超的電腦高手，也指"黑

客精神"。

白帽子，是白帽子黑客的簡稱，描述的是正面的黑客。他們同樣利用黑

客技術，識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，

而是按照法律法規或一定規則下公布其漏洞。這樣系統可以在被其他人（例

如黑帽子）利用之前修補漏洞。在網絡安全行業，有很多活躍于各大安全應

急響應中心（SRC）的白帽子。

什么是掃描、爬蟲？

IH

掃描，依據不同掃描方式或不同掃描內容可以有多種理解。

?網絡掃描一般通過網絡方式實現，是指對網絡上的在用主機進行鑒識

的過程.是進行網絡安全評估或實施網絡攻擊的前提。網絡掃描根據

探測內容不同，可分為漏洞掃描、端口掃描、開放服務掃描、主機存

活掃描等。

?本地掃描，一般是指在操作系統中的掃描行為，是與網絡掃描這種遠

程方式相對而言，本地掃描一般由主機上安裝Agent實現掃描，根

據不同探測內容，可分為配置基線掃描、補丁掃描、敏感信息掃描、

DLP掃描等。

?登錄掃描，結合了網絡掃描和本地掃描的特征，一般通過賬號由網絡

遠程登錄到主機操作系統進行的掃描過程。

4爬蟲

爬蟲，是網絡爬蟲的簡稱，又稱為網頁蜘蛛，是一種按照一定的規則，

自動地抓取互聯網上的各類信息的程序或者腳本。在網絡安全領域，爬蟲可

以用作Web漏洞掃描的前期探測、也可以用于檢測、識別暴露在互聯網上

的各類敏感信息

什么是肉雞、掛馬、拿站、挖洞？

肉雞，是指可以被黑客或攻擊者遠程控制的機器，可以是計算機、智能

設備，也可以是各類網絡設備。攻擊者可以通過遠程控制程序隨意操縱它并

利用它做任何事情。

6掛馬

掛馬，是指把網頁木馬放入到被攻擊的Web網站、網頁文件里面的行

為，或者是將惡意代碼插入到網站正常的網頁文件里，使正常的瀏覽用戶中

馬的行為。

拿站，是指獲取一個網站的最高權限，即拿到后臺和管理員的帳號和密

碼。

8挖洞

挖洞，一般是指通過技術手段發現、識別各類漏洞的過程或活動，也可

理解為漏洞挖掘的簡稱。在業內，有一些白帽子也會說成挖SRC。

什么是病毒、蠕蟲、木馬、后門、勒索軟件？

病毒，一般稱計算機病毒，是編制者在計算機程序中插入的破壞計算機

功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或

者程序代碼。在很多場景中，病毒與蠕蟲、木馬、后門程序沒有嚴格區分。

蠕蟲，一般稱計算機蠕蟲，是一種能夠利月系統漏洞通過網絡進行自我

傳播的惡意程序。它是利用網絡進行復制和傳播，傳染途徑也是多種多樣,

如網絡、電子郵件、U盤等。

11木馬

木馬，是特洛伊木馬的簡稱，是一種表面無害的程序，它包含惡性邏輯

程序，可導致未授權地收集、偽造或破壞數據，也可以用它控制另一臺計算

機，多數木馬都具有隱藏性，不易被發現。而網管軟件具有和木馬相似的程

序功能，但一般都不具有隱蔽性。

12后門

后門，一般稱后門程序，是指那些繞過安全性控制而獲取對程序或系統

訪問權的程序或方法。后門有多種理解，在軟件開發領域，程序員為便于修

改程序設計中的缺陷而留的特定功能，也可理解為一種后門。在計算機系統

中，某些軟件提供某類特殊使用者通過某種特殊方式控制計算機系統的途

徑，也可理解為一種云門，這種場景中木馬和后門沒有嚴格區分。

13勒索軟件

勒索軟件，是一種以勒索為目的的特定病毒程序，它通常以騷擾、恐嚇

甚至采用損壞計算機文件等方式，使用戶數據資產或計算資源無法正常使

用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數

據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特

幣或其它虛擬貨幣。

什么是代理、跳板、反彈端口？

代理，一般為代理服務器的簡稱，攻擊者通過第三方代理服務器訪問目

標系統，從而隱藏自己的真實網絡IP地址，讓別人無法查找到自己。動態

IP代理可以實現IP地址的自動變化，能更好的繞過檢測。代理種類多樣，

常見的有HPPT代理、Socket代理等。

跳板，是跳板技術的簡稱，它是指攻擊者訪問目標系統的路徑中的多個

節點，是攻擊者保護自己，防止被發現或被反向追蹤的常用手段。代理服務

器是跳板之一，肉雞也可以是跳板之一。

16反彈端口

反彈端口，是木馬軟件常用到的技術，反彈是指從內部向外部主動連接

的行為，這種方式解決了傳統的遠程控制軟件不能穿透防火墻以及不能控

制局域網內部計算機的問題。反彈Shell、反彈連接也是同理。

什么是提權、橫移、嗅探、逃逸、重放？

41提皆

提權，是權限提升的簡稱。一般為了安全性，在操作系統中會劃分不同

的帳戶權限，攻擊者利用各種漏洞或缺陷，將低權限帳戶提升為高權限帳戶

的過程，稱為提權，此過程利用的漏洞通常稱為提權漏洞。除操作系統外，

廣義的理解各類應用系統也可以將普通帳戶利用漏洞或缺陷提升為管理員

級別帳戶，也可稱為提權。

橫移，是橫向移動的簡稱。它是指攻擊者使用非敏感帳戶訪問整個網絡中的

敏感帳戶。攻擊者在帳戶、組和計算機中共享存儲的登錄憑據的網絡中使用

橫向移動來識別敏感帳戶和計算機并獲取訪問權限。橫向移動的節點連接

起來，形成橫向移動路徑。

嗅探，一般稱網絡嗅探或嗅探攻擊，是指對局域網中數據包進行截取及分析，

從中獲取有效信息的一種行為。

逃逸，一般為虛擬機逃逸的簡稱，虛擬機逃逸是指利用虛擬機軟件或者虛擬

機中運行的軟件漏洞進行攻擊，以達到攻擊或控制虛擬機宿主操作系統的

目的。在深度學習領域，也有一種逃逸攻擊，是指攻擊者在不改變目標機器

學習系統的情況下，通過構造特定輸入樣本以完成欺騙目標系統的攻擊。

重放，一般稱重放攻擊或回放攻擊，是指攻擊者發送一個目的主機已接收過

的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。

攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給認

證服務器。重放攻擊在任何網絡通信中都可能發生，是計算機世界黑客常用

的攻擊方式之一。

什么是逆向、破解、脫殼？

22逆向

逆向，一般指逆向工程或逆向技術，是一種產品設計技術再現過程，即對一

項目標產品進行逆向分析及研究，從而演繹并得出該產品的處理流程、組織

結構、功能特性及技術規格等設計要素，以制作出功能相近，但又不完全一

樣的產品。逆向工程源于商業及軍事領域中的硬件分析，其主要目的是在不

能輕易獲得必要的生產信息的情況下，直接從成品分析，推導出產品的設計

原理。

破解，在網絡安全領域一般指破解軟件的行為，是指研究軟件的激活機制后，

通過修改內存或者程序文件、或者寫注冊機程序，來達到免費使用該軟件、

或者突破其功能限制的目的的過程。常用到的工具如0D(OllyDBG)、

WinHex等。

脫殼，一般是指去掉軟件所加的殼，即去掉專門負責保護軟件不被非法修改

或反編譯的程序或代碼。常見的脫殼工具如So代ICE、Loader、Peid、PEditor

等。

什么是免殺、加殼、加花？

25免殺

免殺，通常是指通過加殼、加密、修改特征碼、加花指令等技術手段，來修

改程序使其逃過殺毒軟件的查殺。

加殼，一般是指軟件加殼，是作者寫完軟件后，為了保護自己的代碼或維護

軟件產權等利益所常用到的技術手段。它是利用特殊的算法，將EXE可執

行程序或者DLL動態連接庫文件的編碼進行改變，如實現壓縮、加密，以

達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。目

前較常用的殼有UPX、ASPack、PePack等。

■加?

加花，是指在代碼中加入花指令。使機器指令混亂，使反匯編的時候出錯，

使破解者無法清楚正福地反匯編程序?；ㄖ噶钜卜Q代碼混淆，有可能利用各

種匯編指令如JMP、CALL、RET，也可以適用不同語言，如Java代碼混淆,

JS代碼混淆、iOS/Android代碼混淆。

什么是黑產、暗網、怪尸網絡？

黑產，是網絡黑色產業的簡稱，是指以互聯網為媒介，以網絡技術為主要手

段，為計算機信息系統安全和網絡空間管理秩序，甚至國家安全、社會政治

穩定帶來潛在威脅（重大安全隱患）的非法行為。例如非法數據交易產業，

盜號刷號洗錢等。

29暗網

暗網，是指利用加密傳輸、P2P網絡、多點中繼混淆等方式，為用戶提供匿

名的互聯網信息訪問的一類技術手段，其最突出的特點就是匿名性。暗網也

可以理解為一種提供黑產、灰產等非法交易的網絡中介平臺。

30僵尸網絡

僵尸網絡，也稱Botnet,是指采用一種或多種傳播手段，將大量主機感染

病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

僵尸網絡是一個非常形象的比喻，眾多的計算機在不知不覺中如同傳說中

的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。

什么是POC、EXP、Payload.Shellcode?

在攻防對抗、漏洞挖掘中，經常提到的一些術語，注意先有POC再有EXP。

31POC

POC英文為ProofofConcept，中文意思是概念證明，它在項目管理領域、

軟件測試領域都有使用，是一個比較廣義的概念。在網絡安全領域，主要是

指漏洞POC程序，一般是一段漏洞說明或一段漏洞觸發代碼樣例，運行

POC后可以觸發漏洞達到預期效果，從而證明漏洞的真實存在。PoC用來

證明漏洞存在，通常是無害的。

32EXP

Exp是exploit的簡寫，中文意思是漏洞利用，一般指漏洞利用程序。它可

以是一段對漏洞如何利用的詳細說明或者是一個演示漏洞攻擊的代碼,EXP

一般帶有利用漏洞進行攻擊或執行的動作。Exp用來利用漏洞，通常是有害

的。

33Payload

Payload中文稱有效攻擊載荷，是指漏洞利用（exploit）后，真正在目標

系統執行的代碼或指令，通常攻擊載荷是附加于漏洞攻擊模塊之上，隨漏洞

攻擊一起分發。在MetasploitFramework模塊中有一個Payload模塊，

該模塊下有Single、Stager、Stages三種類型Payload,分別適用于不同

場景。

34Shellcode

Shellcode可以是Payload的一種,也可以是利用Payload的一個場景,

用于建立正向的、反向的shell代碼。

什么是漏洞、CVE、CVSS、CNVD?

在網絡安全活動中，經常會提到漏洞，漏洞管理中需要對漏洞進行統一編號

便于管理，目前國際上公認的漏洞主流編號以CVE為準，日常在漏洞評級

中主要以CVSS為參考。國內的漏洞統一編號一般以CNVD為準。

35漏洞

漏洞，是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，

從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。廣義上理解，一

切與設計之初不符的且可能造成安全隱患的，均可稱為漏洞。

CVE英文全稱是CommonVulnerabilities&Exposures,文中為公共漏

洞和暴露。CVE就好像是一個字典表，為廣泛認同的信息安全漏洞或者已

經暴露出來的弱點給出一個公共的名稱。使用一個共同的名字，可以幫助用

戶在各自獨立的各種漏洞數據庫中和漏洞評估工具中共享數據。

37CVSS

CVSS英文全稱是CommonVulnerabilityScoringSystem,中文為通用

漏洞評分系統，是一個〃行業公開標準，其被設計用來評測漏洞的嚴重程度，

并幫助確定所需反應的緊急度和重要度。當前CVSSV3為最新標準。CVSS

和CVE一同由美國國家漏洞庫（簡稱NVD）發布并保持數據的更新。

38CNVD

CNVD是國家信息安全漏洞共享平臺的英文簡稱，它是由國家計算機網絡

應急技術處理協調中心（中文簡稱國家互聯應急中心，英文簡稱CNCERT）

聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和

互聯網企業建立的國家網絡安全漏洞庫。其收錄的各類漏洞也被賦予

CNVD編號。

第二部分：攻擊技術詞匯

什么是社工、欺騙、中間人、劫持？

社工，一般指社會工程攻擊的簡稱，是指利用"社會工程學"來實施的網絡

攻擊的行為。在計算機科學中，社會工程學指的是通過與他人的合法地交流，

來使其心理受到影響，做出某些動作或者是透露一些機密信息。這通常被認

為是一種欺詐他人以收集信息、行騙和入侵計算機系統的行為。社工的方法

很多,常見的有釣魚、電話詐騙、誘餌下套等。

40欺騙

欺騙，可以理解為ARP欺騙，它是對路由器或三層交換機ARP表的欺騙,

或者是對內網計算機的網關欺騙。另一種理解是IP欺騙,或叫IP地址偽

造，是指行動產生的源IP地址通過篡改等技術手段偽造成非真實IP的數據

包，以便冒充其他系統或發件人的身份。

41中間人

中間人，一般指中間人攻擊，即MITM攻擊，英文全稱Man-in-the-

是一種〃間接”的入侵攻擊，這種攻擊模式是通過各種技

MiddleAttacko

術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計

算機之間，這臺計算機就稱為“中間人"。一般常見的中間人攻擊有ARP

緩存中毒，DNS欺騙，會話劫持，ICMP重定向，端口竊取等。

劫持，一般也叫劫持攻擊，劫持攻擊有主動劫持，也有被動劫持。有時侯根

據劫持的方法不同，也可以是中間人攻擊的一種表現形式。一般常見的劫持

攻擊有DNS劫持、HTTP會話劫持、點擊劫持、TCP鏈路劫持、流量劫持

等。

什么是拖庫、撞庫、洗庫？

在黑灰產領域，一些攻擊者盜取大量數據后，會進行一些列操作使利益最大

化，拖庫、撞庫、洗庫是常見的操作手段，可以參考下列理解。

43拖庫

拖庫，是指攻擊者入侵網站或信息系統后，竊取數據庫中全部數據信息或盜

走整個數據庫文件的行為，因為諧音業內也稱作“脫褲"。

撞庫，是指黑客通過收集互聯網已泄露的用戶和密碼信息、，生成對應的字典

表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。很多用戶在不

同網站使用的是相同的帳號或密碼，因此黑客可以通過獲取用戶在A網站

的賬戶從而嘗試登錄B的網站,這種帳號的嘗試過程也可以理解為"撞庫

攻擊“。

洗庫，是指在取得大量的用戶數據之后，黑客會通過一系列的技術手段和黑

色產業鏈將有價值的用戶數據變現，這一過程被稱作“洗庫"。

什么是ODay、IDay、NDay?

460Day

0Day在網絡安全領域，一種理解為0Day漏洞，一種理解為0Day攻擊。

0Day中的0表示zero.在破解軟件時代，軟件發行后24小時內就出現

破解版本,叫0Day.現在我們引申了這個含義，通常是指尚未公開也沒有

補丁的漏洞或漏洞利用程序、方法。

471Day

1Day一般理解為1Day漏洞，指漏洞信息已公開，但仍未發布補丁的漏

洞。此類漏洞的危害仍然較高，但往往官方會公布部分緩解措施，如關閉部

分端口或者服務等。

NDay一般理解為NDay漏洞,是指已經發布官方補丁的漏洞。通常情況

下，此類漏洞的防護只需更新補丁即可，但由于多種原因，導致往往存在大

量設備漏洞補丁更新不及時，且漏洞利用方式已經在互聯網公開，往往此類

漏洞是攻擊者最常使用的漏洞。例如在永恒之藍事件中，微軟事先已經發布

補丁，但仍有大量用戶中招。

什么是APT、C2?

APT英文全稱AdvancedPersistentThreat?中文為高級可持續威脅，也

稱為定向威脅攻擊，指攻擊方對特定對象展開的持續的攻擊活動。這種攻擊

活動具有極強的隱蔽性和針對性，通常會使用受感染的各種介質、供應鏈和

社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。近些年被

曝光的一些知名APT組織，如Equationgroup（方程式組織）、APT34

（Oilrig）、OceanLotus（海蓮花）等。

C2英文全稱CommandandControl,中文為命令和控制，常見于APT攻

擊場景中，作動詞解釋時，可理解為惡意軟件與攻擊者進行交互的行為；作

名詞解釋時，可理解為攻擊者發送控制命令的服務端、服務器等"基礎設施、

什么是WebShell、GetShell?

51WebShell

是指以網頁文件形式存在的一種命令執行環境，也可稱是一種

WebShellz

網頁后門。黑客在入侵一個網站后，會將網頁后門與網站服務器WEB目錄

下正常的網頁文件混在一起，借用此Web網頁的特定功能執行命令，達到

控制網站服務器的目的。

52GetShell

GetShell,是指在入侵網站行為中獲取WebShell的動作。GetShell的方

式眾多，常見如文件上傳、SQL注入、命令執行、文件包含、解析漏洞等，

有時候一個漏洞即可實現GetShell,有時候則需要各種漏洞打一套組合拳

來實現。

什么是DoS、DDoS、CC?

DoS,英文全稱Denialofservice,中文稱拒絕服務，是一種使系統失去

可用性的攻擊。拒絕服務的概念較廣泛，一切能引起拒絕服務的行為的攻擊

都被稱為DoS攻擊。該攻擊的效果是使得計算機或網絡無法提供正常的服

務。常見的DoS攻擊有針對計算機網絡帶寬和連通性的網絡層攻擊，也有

利用應用系統漏洞使應用緩慢甚至異常的應用層攻擊。

54DDoS

DDoS,英文全稱DistributedDenialofService,中文名稱是分布式拒絕

服務攻擊。指的是攻擊者控制多個攻擊源同時向同一主機或網絡發起DoS

攻擊。它是DoS攻擊的衍生形式，它可以對源IP地址進行偽造，使得這種

攻擊發生時更加隱蔽，更難進行攻擊檢測。DDoS攻擊有多種不同的分類方

法，可以分為手工DDoS和自動化DDoS,前者多用于測試場景,后者則

多現于真實攻擊。根據技術實現的不同可以分為多種，如流量DDoS攻擊

有UDP、1cMp洪水攻擊等；擴展DDoS攻擊有Smurf、TCPSYN攻擊

等。

CC,英文稱ChallengeCollapsar,中文稱挑戰黑洞，是DDoS攻擊的一

種類型之一，它使用代理服務器向受害服務器發送大量貌似合法的請求，最

終造成服務器資源耗盡或宕機崩潰。當前網絡中CC攻擊多采用慢速CC攻

擊，更加難以防范。

什么是RCE、反序列化？

RCE,英文全稱RemoteCommand/CodeExecute,中文為遠程命令執行

/遠程代碼執行。常說的RCE漏洞是對遠程命令執行/遠程代碼執行類漏洞

的統稱。這類漏洞因為可以通過網絡遠程執行命令或代碼，可以直接獲取一

定權限，會造成較嚴重的影響，因此屬于較高危的一類漏洞，一旦發現應立

即修補。常見的ApacheSturcts2系列漏洞多屬于RCE漏洞。

57反序列化

反序列化，一般是指反序列化漏洞。序列化就是把對象轉換成字節流，反序

列化即逆過程，由字芍流還原成對象。簡單理解序列化是編碼，反序列化是

解碼。如Java反序列化漏洞ApacheCommonsCollections中實現的一

些類可以被反序列化用來實現任意代碼執行。

什么是注入、SQL注入、旁注、C段攻擊？

注入，可以理解為注入漏洞，也可理解為利用注入漏洞進行的攻擊行為，即

注入攻擊。注入攻擊的本質是把用戶的輸入當做代碼來執行。注入攻擊的種

類很多，常見的包括SQL注入、XML注入、OS命令注入、ORM、LDAP

注入、表達式語言（EL）或OGEL注入。

59SQL注入

SQL注入，一般是指攻擊者構造特殊的SQL語句，由于輸入參數未經過濾，

直接拼接到后端SQL語句當中解析，達到對數據庫非法操作的一種攻擊方

法。存在SQL注入漏洞的參數位置，常稱為注入點。

旁注是一種入侵方法，在字面上解釋就是從旁邊注入，利用同一主機上面不

同網站的漏洞進行攻擊，最終實現對目標對象的攻擊。

61C段攻擊

C段攻擊，也是類似旁注攻擊的一種入侵思路，當目標對象沒有可直接利用

的漏洞，無法直接攻擊時，對同一C網段的其他主機、網站進行攻擊和控

制，最終實現對目標時象的攻擊。

什么是XSS、CSRF、SSRF、XXE?

62XSS

XSS英文全稱CrossSiteScripting,中文為跨站腳本攻擊,是一種注入攻

擊，當Web應用對用戶輸入過濾不嚴格時，攻擊者通過巧妙的方法寫入惡

意指令代碼（腳本）到網頁中，如果用戶訪問了含有惡意代碼的頁面，用戶

瀏覽器解析、加載并執行惡意腳本導致用戶被攻擊。XSS一般可分為反射型

XSS、存儲型XSS、DOM型XSS三種。

63CSRF

CSRF英文全稱CrossSiteRequestForgery,中文為跨站站點請求偽造，

簡稱跨站請求偽造。它是一種挾制用戶在當前已登錄的W