文档首页/ 漏洞扫描服务 Webscan/ 产品术语

B

    • B
      本地文件包含

      用户包含文件时,文件没有经过严格的检验或是检验操作被绕过就操作一些敏感文件,导致文件泄露和恶意代码注入,当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器时,就形成远程文件包含。

    C

      D

        G

          • G
            攻击代码

            针对特定漏洞的攻击用例。

          K

            • K
              跨站脚本攻击

              一种网站应用程序的安全漏洞攻击,攻击者将恶意代码注入到网页上,用户在浏览网页时恶意代码会被执行,从而达到恶意盗取用户信息的目的。

              跨站请求伪造

              跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据,诱导受害者访问,如果受害者浏览器保持目标站点的认证会话,则受害者在访问攻击者构造的页面或URL的同时,携带自己的认证身份向目标站点发起了攻击者伪造的请求。

            L

              • L
                LFI

                参见 本地文件包含 (Local File Includsion)

                零日漏洞

                零日漏洞,又叫零时差漏洞/零日攻击/零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

                漏洞

                漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。

                漏洞扫描服务

                漏洞扫描服务是针对Web应用进行漏洞扫描的一种安全检测服务。

                漏洞证明

                证明漏洞存在的一段代码或一段程序。

              P

                R

                  S

                    • S
                      扫描器

                      扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

                      SQLi

                      参见 SQL注入 (SQL Injection)

                      SQL注入

                      SQL注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

                    T

                      • T
                        通用漏洞字典

                        为漏洞分配唯一一个编码,此编码的由美国国家漏洞库(National Vulnerability Database,NVD)统一分配。可以达到快速地在任何其他CVE兼容的数据库中找到相应修补的信息。

                      V

                        W

                          • W
                            WAF

                            参见 Web应用防火墙 (Web Application Firewall)

                            网络爬虫

                            网络爬虫(又被称为网页蜘蛛,网络机器人),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。

                            Web 2.0

                            指的是一个利用Web的平台,由用户主导而生成的内容互联网产品模式,为了区别传统由网站雇员主导生成的内容而定义为第二代互联网,Web2.0是一个新的时代。

                            Web应用防火墙

                            Web应用防火墙是专门对Web应用提供保护的安全防护服务。针对SQL注入、XSS攻击等威胁进行检测或阻断。从而降低Web应用因安全问题导致的业务中断、数据被窃取或篡改的风险。

                          X

                            • X
                              XML实体攻击

                              XML外部实体攻击是对解析XML输入的应用程序的一种攻击。 当包含对外部实体的引用的XML输入由弱配置的XML解析器处理时,会发生此攻击。 这种攻击可能导致解析器所在机器披露机密数据、拒绝服务、端口扫描以及其他系统影响。

                              XSS

                              参见 跨站脚本攻击 (Cross Site Script)

                              XXE attack

                              参见 XML实体攻击 (XML External Entity attack)

                            Y

                              • Y
                                远程命令执行

                                远程命令执行是指攻击者可能会通过远程调用的方式来攻击或控制通信设备。

                                域名

                                域名是由一串用“点”分隔的字符组成的Internet上某一台计算机或计算机组的名称,如www.abc.com。

                                域名认证

                                验证用户输入域名的身份及相关信息。