漏洞

漏洞是硬件、软件、通信协议在设计、开发、部署或维护过程中产生的本质性缺陷，其成因涵盖代码逻辑错误、权限设计疏漏、协议规范缺陷、硬件物理特性瑕疵等。这类缺陷使得攻击者能够以未授权的方式绕过系统安全策略，实现对系统的非法访问、数据窃取、篡改、破坏，甚至完全掌控系统。例如，操作系统内核的内存溢出漏洞，可被利用向内存写入恶意代码，进而执行非授权操作；Web应用中未做参数校验的SQL注入漏洞，能让攻击者直接操控数据库，窃取或篡改核心数据。

木马

木马全称为“特洛伊木马”，得名于古希腊特洛伊战争的典故，是一类伪装成合法、实用程序（如办公软件、娱乐插件、系统工具）的恶意程序。其核心特征是“伪装性”和“隐蔽性”，用户在不知情的情况下安装后，木马会在系统后台静默运行，为攻击者开放非法的权限通道。攻击者可通过木马远程获取目标主机的文件访问权、屏幕监控、键盘记录、摄像头控制等权限，甚至能操控主机发起后续攻击。常见的木马类型包括远程控制木马（如灰鸽子、PcShare）、密码窃取木马（专门盗取各类账号密码）等，且木马本身不具备自我复制能力，区别于病毒的核心特征之一。

后门

后门是开发者、维护者或攻击者为了便于后续对系统进行非授权访问，刻意在硬件、软件、固件或系统配置中留下的隐蔽入口。后门的形式多样，既可以是代码层面的隐藏功能（如特定的登录口令、未公开的API接口），也可以是系统配置层面的特殊权限账户、修改后的访问控制规则，甚至是硬件层面的预留调试接口。合法场景下，部分开发者会预留后门用于系统维护，但更多时候后门由攻击者通过漏洞植入，成为长期控制目标系统的“秘密通道”，且后门通常具备绕过常规身份验证、审计日志记录的特性，难以被发现。

病毒

病毒是一种依附于其他可执行程序（宿主程序）的恶意软件（Malware），核心特征是自我复制能力和传染性。当宿主程序被执行时，病毒会将自身代码复制到其他程序、系统分区或存储介质中，实现跨文件、跨主机传播。病毒的破坏形式多样，轻则篡改系统配置、删除普通文件，重则格式化硬盘、加密数据（勒索病毒是病毒的变种形式）、拦截键盘输入窃取敏感信息，甚至破坏硬件（如早期的CIH病毒可改写BIOS芯片）。病毒的传播途径包括移动存储设备、网络下载、邮件附件等，其传播依赖宿主程序的运行，这也是与木马、蠕虫的核心区别（蠕虫无需宿主，可独立传播）。

EXP

EXP是Exploit（漏洞利用）的缩写，指专门用于利用特定漏洞的程序、代码片段或脚本。一个完整的EXP通常包含漏洞触发逻辑和后续操作指令两部分：首先通过精准的代码构造触发目标系统的漏洞（如触发缓冲区溢出、绕过权限校验），然后执行预设的恶意操作（如获取命令执行权限、创建管理员账户、下载恶意程序）。EXP具有极强的针对性，一款EXP仅适用于特定版本、特定环境下的漏洞，且通常与漏洞的披露同步出现——0day漏洞对应的EXP具有极高的攻击价值，因为官方尚未发布修复补丁，防御方难以防范。

肉鸡

“肉鸡”是网络黑产中的通俗说法，指被攻击者控制的、失去自主控制权的计算机（个人PC、服务器）、移动设备甚至物联网设备（摄像头、路由器）。攻击者通常通过扫描公网漏洞、投放木马、钓鱼攻击等方式“捕获”肉鸡，然后将其纳入控制网络（僵尸网络）。肉鸡的用途包括：发起DDoS攻击、窃取数据、挖矿、转发恶意流量（隐藏攻击者真实IP）、作为跳板进行内网渗透等。肉鸡的控制权通常由攻击者通过C2服务器管理，大量肉鸡组成的僵尸网络是网络攻击的重要“武器库”。

白帽子

白帽子（White Hat）也被称为“道德黑客”，是具备专业网络安全技术的合法从业者，其核心行为准则是“授权测试、发现漏洞、协助修复”。白帽子通常受企业、政府机构委托，在获得正式授权的前提下，模拟黑客攻击手段检测系统安全漏洞，随后向委托方提交详细的漏洞报告、风险评估及修复建议。白帽子的行为受法律保护，且需遵守行业规范（如不泄露漏洞细节、不破坏系统数据），是网络安全防御体系的重要组成部分，常见于安全公司、企业安全部门、渗透测试团队。

黑帽子

黑帽子（Black Hat）是为了谋取非法利益（金钱、数据、控制权）或满足恶意目的（破坏、报复、窃取机密），未经授权对计算机系统、网络实施攻击的黑客。其行为违反《网络安全法》《刑法》等法律法规，常见手段包括利用0day漏洞攻击企业服务器、窃取用户隐私数据贩卖、发起DDoS攻击敲诈勒索、制作传播木马病毒等。黑帽子是网络安全的主要威胁，其攻击行为具有隐蔽性、破坏性和牟利性，且通常会利用匿名网络（如Tor）、肉鸡、虚拟货币等方式规避追踪。

灰帽子

灰帽子（Gray Hat）介于白帽子和黑帽子之间，其核心特征是“无授权测试，但无直接牟利目的”。灰帽子可能出于技术炫耀、寻求认可或“善意提醒”的目的，未经授权入侵他人系统发现漏洞，但通常不会破坏数据或窃取信息，部分灰帽子会将漏洞细节告知被攻击方（或公开），但该行为仍可能违反法律——因为未经授权的系统访问本身已构成侵权。灰帽子的行为边界模糊，既不同于白帽子的“合法授权”，也区别于黑帽子的“恶意牟利”，但其行为本质仍存在法律风险。

黑盒测试

黑盒测试（Black Box Testing）是渗透测试中最接近真实攻击场景的测试方式，测试人员对目标系统的内部结构、代码逻辑、网络拓扑、配置信息等一无所知，仅掌握目标的外部访问入口（如域名、IP地址）。测试过程中，测试人员模拟黑帽子的攻击思路，通过端口扫描、漏洞探测、社会工程学、模糊测试等方式，逐步发现系统漏洞并验证攻击路径。黑盒测试的优势是能真实反映系统对外的安全状态，缺点是测试效率较低，难以定位漏洞的根本原因，常用于对企业对外服务（如官网、APP、API接口）的安全评估。

白盒测试

白盒测试（White Box Testing）是在完全掌握目标系统内部信息的前提下开展的渗透测试，测试人员可获取系统源码、网络拓扑图、服务器配置、数据库结构、权限体系等全部核心信息。测试过程中，测试人员可通过代码审计、逻辑漏洞分析、配置检查等方式，精准定位深层次漏洞（如代码逻辑错误、权限设计缺陷、加密算法滥用）。白盒测试的优势是测试深度深、漏洞定位精准，缺点是依赖内部信息，无法反映真实攻击的隐蔽性，常用于企业内部系统、核心业务系统的安全检测。

灰盒测试

灰盒测试（Gray Box Testing）结合了黑盒测试和白盒测试的特点，测试人员掌握部分目标系统的内部信息（如知道某一模块的功能逻辑、拥有低权限账户、了解部分网络拓扑），以此为基础开展半授权的渗透测试。例如，测试人员拥有目标网站的普通用户账户，以此为切入点，测试账户权限提升、越权访问等漏洞；或掌握目标企业的部分内网拓扑，测试内网横向移动的可能性。灰盒测试兼顾了测试的真实性和效率，是企业渗透测试中最常用的方式之一。

Shell

Shell（壳）是操作系统提供的命令行交互界面，是用户与操作系统内核沟通的“桥梁”，常见的Shell包括Linux下的Bash、Sh，Windows下的CMD、PowerShell。在渗透测试中，“拿Shell”是核心目标之一，指攻击者获得目标主机的Shell执行权限，能够远程执行系统命令（如创建账户、查看文件、启动服务）。Shell的获取方式包括利用漏洞执行系统命令、通过木马植入远程Shell、破解服务器密码登录后获取Shell等，获得Shell意味着攻击者已掌握目标主机的基础控制权。

Webshell

Webshell是针对Web服务器的恶意脚本（如PHP、ASP、JSP脚本），通过Web入侵手段（如文件上传漏洞、代码注入漏洞）植入到目标网站的目录中，攻击者可通过浏览器、专用工具访问该脚本，进而控制Web服务器。Webshell的核心特征是“通过Web端口操作”，无需直接登录服务器，隐蔽性极强——常见的Webshell包括一句话木马（如）、大马（功能更全面的Webshell，支持文件管理、数据库操作、命令执行）。Webshell是Web渗透中最常用的“后门工具”，也是WAF（Web应用防护系统）的主要检测目标。

POC

POC是Proof of Concept（概念验证）的缩写，指用于验证漏洞是否真实存在的代码、脚本或操作步骤。与EXP不同，POC的核心目的是“验证漏洞存在”，而非利用漏洞执行恶意操作，通常仅会执行简单的测试指令（如返回特定字符串、创建临时文件）。POC是安全研究者、白帽子的常用工具：在漏洞披露前，研究者通过POC确认漏洞的真实性；企业安全人员可通过POC批量检测内部系统是否存在某一漏洞。POC通常会在漏洞公开后被广泛传播，成为防御方检测漏洞的重要依据。

Payload

Payload（有效攻击载荷）是嵌入在攻击代码中的核心执行内容，是攻击者真正想要传递给目标系统并执行的指令或数据。Payload的形式多样，可分为命令执行Payload（如执行whoami获取当前用户）、代码注入Payload（如SQL注入语句）、木马下载Payload（如下载并运行远程木马）、内存执行Payload（如Shellcode）等。Payload通常会被加密、编码（如Base64、URL编码），以绕过WAF、杀毒软件的检测，其设计目标是“隐蔽执行、达成攻击目的”——例如，在缓冲区溢出攻击中，Payload就是触发漏洞后执行的核心恶意代码。

Shellcode

Shellcode是一段用于利用软件漏洞的机器码（十六进制形式），因最初的用途是让攻击者获得Shell而得名。Shellcode具有体积小、可执行、跨平台（需适配不同架构）的特点，通常被嵌入到EXP中，在漏洞触发后被目标系统执行。由于Shellcode直接操作系统内核，无需依赖系统库，因此能绕过部分安全防护机制。常见的Shellcode类型包括绑定Shell（在目标主机开放端口，等待攻击者连接）、反向Shell（主动连接攻击者的服务器），且Shellcode通常会经过免杀处理（如加密、变形），避免被杀毒软件识别。

WAF

WAF（Web Application Firewall，Web应用防护系统）是部署在Web服务器前端的安全设备/软件，专门防御针对Web应用的攻击（如SQL注入、XSS跨站脚本、CSRF跨站请求伪造、文件上传、命令注入等）。WAF的核心工作原理是：

• 解析请求，检测请求中的恶意特征（如SQL注入语句、Shellcode）；
• 基于规则库、机器学习识别异常请求（如高频访问、异常参数、恶意UA）；
• 阻断恶意请求，记录攻击日志，并向管理员告警。

WAF分为硬件WAF、软件WAF（如ModSecurity）、云WAF（如阿里云盾、腾讯云WAF），是Web应用的第一道防线，但需定期更新规则库，否则无法防御新型攻击（如0day漏洞攻击）。