1、知识点 计算机安全漏洞的相关概念 1.POC POC,Proof ofConcept,中文意思是“观点证 明” 。这个短语会在漏洞 报告中使用,漏洞报告中的 POC 则是一段说明或者一个攻击的样例, 使得读者能够确认这个漏洞是真实存在的。 2.EXP EXP ,Exploit ,中文意思是“漏洞利用” 。 意思是一段对漏洞如何 利 用的详细说明或者 一个 演示的漏洞攻击代 码, 可以使得读者完全 了解 漏洞的机理以及利用的方法。 3.VUL VUL,Vulnerability 的缩写,泛指漏洞。 4.CVE 漏洞编号 CVE 的英 文全称 是“Common Vulnerabilities &
2、Exposures”公共漏 洞和暴露,例如CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是 一个字典表,为广 泛认 同的信息安全漏洞 或者 已经暴露出来的弱 点给 出一个公共的名称 。如 果在一个漏洞报告 中指 明的一个漏洞,如 果有 CVE 名称,你就可以快速地在任何其它 CVE 兼容的数据库中找到相应 修补的信息,解决安全问题。 可以在https:/cve.mitre.org/网站根据漏洞的CVE 编号搜索该漏 洞 的介绍。 也可以 在中文 社区 http:/ 上搜索 关于漏 洞的介绍。 5.0DAY 漏洞和0DAY 攻击 知识点 计算机安全漏洞的相关概念 在
3、计算机领域中,零日漏洞或零时差漏洞(英语:Zero-dayexploit) 通常是指还没有补 丁的 安全漏洞,而零日 攻击 或零时差攻击(英 语: Zero-dayattack )则是指利用这种漏洞进行的攻击。提供该漏洞细节 或者利用程序的人 通常 是该漏洞的发现者 。零 日漏洞的利用程序 对网 络安全具有巨大威 胁, 因此零日漏洞不但 是黑 客的最爱,掌握多 少零 日漏洞也成为评价黑客技术水平的一个重要参数。 零日漏洞及其利用 代码 不仅对犯罪黑客而 言, 具有极高的利用价 值, 一些国家间谍和网 军部 队,例如美国国家 安全 局和美国网战司令 部也 非常重视这些信息1。 据路透社报告称美国政府是零日漏洞黑市的最 大买家。 6. OWASP(Open Web Application Security Project,开放应用安全计 划组织) OWASP 是一个非盈利的全球性安全组织, 致力于应用软件的安全研究。 致力于推动安全标 准、 安全测试工具、安 全指 导手册等应用安全 技术 的发展。
