学习笔记一：渗透测试相关术语

IP地址：IP地址（Internet Protocol Address）是指互联网协议地址，又称网际协议地址。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。渗透测试中，IP地址一般出现在服务器，PC，路由器等交换设备中，可以把IP地址理解为我们生活中的家庭地址。

获取本机外网ip地址的方法：在网址栏中输入ip.3322.org

VPS：（Virtual Private Server）虚拟专用服务器技术，将一台服务器分割成多个虚拟专享服务器的优质服务。我们一般人通常说的VPS就是一台人家虚拟出来的服务器，这台服务器有外网IP，我们可以装好系统并直接连接。

端口：是英文port的意译，可以认为是设备与外界通讯交流的进出口。

WAF：Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

一句话木马：指的是那些代码长度很短的脚本木马，一般只有一行，跟平常的一句话长度差不多。例如，asp的其中一种一句话木马：<%execute(request("value"))%>

大马：指的是那些功能很多的脚本木马，一般都包含但不限于文件管理，cmd执行，可读写目录查找。例如redhat的大马还有提权难易程度检测功能。

Webshell：指的是已经在某个web植入脚本木马，且该木马能被解析成脚本文件，并能被访问到，能通过这个文件控制web。

URL：专业说法称为“统一资源定位符”，可以通俗地理解为链接。

提权：也称权限提升，顾名思义，就是把我们自己的权限提起升高，提权都需要利用到漏洞。

POC：（proof of concept）概念验证，它可以是一段代码也可以是一个程序，用作验证某个漏洞是存在的，没有破坏能力。

EXP：（exploit）指的是漏洞利用程序，这种程序可以是任何语言编写的，具有破坏能力。

payload：有效载荷，当exploit利用成功后将执行payload。

shellcode：漏洞利用的过程，就是把shellcode发送到目标服务器，其中shellcode包含payload，如果shellcode被执行成功，那么才会执行有效载荷payload，这个载荷可以是一条os命令，可以是一段二进制代码。

CMS：内容管理系统，简单来说就是一种网站系统模板，很多网站都是用同一种模板改的。

反序列化：指将字节序列转换成目标对象的过程。

Fuzz测试：是一种安全测试方法，介于完全的手工测试和完全的自动化测试之间。