术语表
CVE、CVSS、RCE、SSRF、XSS、SPF/DKIM/DMARC——每个术语都配有一句话答案和通俗解释。
什么是 passkey(通行密钥)— 不用密码、偷不走的登录方式
passkey=不持有共享秘密(密码)的登录方式。用设备内的私钥+生物识别签名,服务器只保存公钥。所以即使泄露也无法被滥用,在假域名上签名无法成立=抗钓鱼能力在结构上更强。比密码+短信验证码更安全,迁移时从重要账户开始分阶段推进才现实。
密码哈希是什么 — 用不可逆的单向变换安全保存密码的机制
密码哈希=用不可逆的单向变换来保存密码的方法。明文保存不可取。与加密不同,它无法被解密,这正是优点。但直接使用 MD5/SHA-256 会被彩虹表或暴力破解攻破。正确做法是『每个用户不同的 salt』+『故意做得很慢的专用哈希(bcrypt/Argon2/scrypt)』。不要自己实现,交给标准库。
salt(盐)是什么 — 给密码哈希添加的「每个用户各不相同的调味」
salt=在对密码做哈希之前添加的、每个用户各不相同的随机值。即便密码相同,所有人的保存值也会各不相同,预先计算好的彩虹表因此失效,攻击者也无法用一次破解攻破多个人。salt 不是秘密,可以和哈希一起保存。使用 bcrypt/Argon2 时会自动加上。
什么是网络钓鱼(Phishing)——比「识破」更可靠的防御与手法种类
网络钓鱼是冒充可信对象、诱导你进入伪造的登录页面等,窃取凭据或个人信息(或诱使你运行恶意软件)的诈骗。它的特点是攻击『人的判断』而非软件漏洞,是勒索软件与信息泄露最大的入侵入口。如今有以假乱真的假网站连一次性验证码都实时中继的中间人型(AiTM),连SMS/应用的MFA也可能被突破。可靠的防御不是『识破的注意力』,而是与域名绑定的抗钓鱼MFA(通行密钥/物理密钥)、不点链接而直接访问官方、以及邮件认证(SPF/DKIM/DMARC)。
JWT(JSON Web Token)是什么 — 带签名的通行证原理与安全用法
JWT 是服务器签名后发放的、无法篡改的「通行证」。它由 header.payload.signature 三部分组成,服务器通过签名来校验是否为真品。要点=①必须校验签名并固定期望的 alg(拒绝 alg:none)②内容人人可读,不要放机密③把有效期设短并准备失效策略。解码(读取内容)与校验(用签名确认真伪)是两回事。
什么是勒索软件 —— 工作原理、入侵途径与「不付款」的防御
勒索软件是一种加密文件并要求「想恢复就付赎金」的恶意软件。如今除了加密,还会窃取数据并威胁「不付款就公开」,这种双重勒索已成主流——即使能解密,信息泄露也无法挽回。主要入侵口是钓鱼、弱口令/无 MFA 的 VPN/RDP,以及未修补的对外公开漏洞。最重要的防御是「离线/防篡改备份+恢复演练」——打造无需付款也能恢复的状态。同时也要把入口(MFA·补丁)和受害范围(最小权限·隔离)一并加固。
BitLocker 是什么 — 用 Windows 磁盘加密,在设备被盗或丢失时保护数据
BitLocker 是 Windows 内置的磁盘加密。它保护处于关机/驱动器被拔出状态下的数据,在设备被盗或丢失时把内容变成密文。最大的坑是恢复密钥的保管——一旦丢失,你自己就会被锁在门外。它无法保护正在运行、已登录的电脑,所以要与强登录+自动锁定配合使用。
C2(命令与控制)是什么 — 入侵后攻击者远程操控终端的通信
C2 是被入侵的终端回连攻击者服务器(回调/信标)、用于接收命令与外传数据的远程操控通道,处于入侵「之后」的阶段。检测的关键是外向的可疑定期通信与已知的恶意目的地。防御靠出口(egress)控制·DNS 监控·IOC/IOA 比对·最小权限。在入侵调查中,确认「不存在常驻 C2」也很重要。
CORS 是什么 — 原理,以及配置错误(CORS misconfiguration)会引发什么
CORS 是浏览器用来控制「其他源的 JS 能否读取自己 API 响应」的机制。配置错误=反射任意 Origin,或把 Access-Control-Allow-Origin:* 与认证信息同时使用,会导致第三方网站读取到已登录数据。核心防御是采用白名单方式、不要不加判断地反射 Origin、默认拒绝。
EDR 是什么 — 记录终端「行为」、检测并响应已绕过防线的攻击的机制
EDR 持续记录终端行为,检测可疑动向(偏 IOA),并进一步执行隔离、调查等响应。它用行为与时间线捕获以特征码/IOC 比对为主的传统 AV 会漏掉的无文件攻击和正规工具滥用。小规模环境往往并不需要完整 EDR,借助操作系统自带防护+日志+IOA 的思路即可获得大量价值。
什么是 IOA(攻击指标)— 不靠痕迹,而靠“正在进行的攻击行为”来察觉
IOA(攻击指标)是靠攻击的“行为”(提权→横向移动→外部外传等手法的流程)来察觉的思路,与事后痕迹 IOC 成对。哈希和 IP 攻击者一瞬就能改,但手法(行为)难以改变=IOA 更长效。即便规模小,只要关注“与平时不同的举动”也能靠近这一思路。
什么是 IOC(失陷指标)— 从攻击留下的痕迹中发现入侵的线索
IOC(失陷指标)是入侵留下的痕迹=已知恶意的文件哈希、通信对端 IP/域名、URL、异常进程等。其价值在于能机械地检测并拦截已知的坏东西。但它是攻击者可以随手丢弃、随意更换的事后线索,所以 IOC 比对只是“最后的比对材料”,并非万能。真正的关键是不会着火的设计(最小权限・打补丁・MFA)。
会话固定(Session Fixation)是什么 — 让用户用攻击者准备好的 ID 登录的漏洞
会话固定是攻击者预先准备一个已知的 session ID 让受害者使用,待其登录后用该 ID 冒充受害者的攻击。关键防御是『每次登录(以及权限变化)时都重新生成 session ID』。禁止从 URL 接收 ID,并用 HttpOnly/Secure/SameSite 加固 Cookie。
什么是点击劫持 — 用透明陷阱让你按下「看不见的按钮」的攻击
点击劫持是用透明的 iframe 把自己的站点叠加到另一个站点上,诱导用户执行非本意操作(转账、修改设置、同意授权)的攻击。核心防御是「不让自己的站点被嵌入到他站的框架里」=CSP frame-ancestors 与 X-Frame-Options。
IDOR 是什么 — 仅靠改写 ID 就能看到他人数据的漏洞
IDOR 是一种仅靠把 ?id=124 改成 125 就能看到他人发票、个人信息的访问控制缺陷漏洞。关键防御是「在服务端每次校验『当前登录的这个用户,是否可以查看该对象』」。难以猜测的 ID 并不能算作对策。
什么是开放重定向(open redirect)——以受信任的 URL 为跳板,被转到别的站点
开放重定向是指可以在 ?next= 等跳转目标参数里塞入外部 URL,从而以受信任域名为跳板把用户转到别的站点的漏洞。它会成为 phishing 的基础。真正的防御是「跳转目标不接收外部 URL/只允许允许列表或相对路径」。
路径遍历是什么 — 用 ../ 读取服务器上「本不该交出的文件」的漏洞
路径遍历是一种在文件名输入中混入 ../,从而逃出基准目录、读写 .env、配置、密钥等的漏洞。关键防御是「不把用户输入直接用作文件路径」「先规范化再将其限制在基准目录内」。
CSRF(跨站请求伪造)是什么 — 让登录中的用户「被擅自操作」的攻击
CSRF 是一种擅自让登录中用户的浏览器发出「并非本人本意的操作」的攻击,它滥用了浏览器自动发送 Cookie 的特性。关键防御是 CSRF Token+SameSite Cookie。不用 GET 来改变状态同样重要。
SPF / DKIM / DMARC 是什么——保护自己域名免遭“冒名邮件”的三件套
SPF/DKIM/DMARC 是让收件方验证自有域名邮件是否真实的三项 DNS 设置。SPF=允许发信的服务器,DKIM=电子签名,DMARC=策略+报告。三者齐备,就能拦截冒用你名义的冒充与钓鱼邮件。DMARC 从 p=none 开始逐步加严。
什么是 SQL injection(SQLi)——能用输入改写数据库命令的漏洞
SQLi 是一种让输入被当作「命令的一部分」而非「数据」来解释、从而改变数据库查询含义的漏洞,直接导致数据被读取、被篡改、被全部删除。真正有效的防御是「停止字符串拼接,用占位符(prepared statement)传值」。
XSS(跨站脚本)是什么 — 让代码在他人浏览器中被擅自执行的漏洞
XSS 是一种让攻击者准备的字符串「作为脚本」在另一名用户的浏览器中被执行的漏洞,直接导致会话被窃取与冒充。真正关键的防御是「输出时转义」。不破坏框架的自动转义是最有效的对策。
什么是 CVE — 给漏洞编上“统一编号”的机制
CVE 是给漏洞分配的全球通用标识编号(例如 CVE-2025-12345)。它让所有人能用同一个名字引用同一个漏洞,是对策与监控的起点。CVE=名字、CVSS=严重程度、KEV=是否正被利用,职责各不相同。对个人而言,用机器监控来追踪才现实。
CVSS 是什么 — 漏洞的“严重程度评分”,以及它的评分标准
CVSS 是用 0.0~10.0 表示漏洞严重程度的通用分数。分数由「攻击途径・复杂度・所需权限・用户交互・影响范围・CIA」这些既定指标通过公式算出。懂了标准就能读懂 10.0 的含义。不过优先级还要结合 KEV(是否正被利用)和你自己是否在用来一起判断。
「.env」是什么 — 环境变量文件泄露会发生什么
.env 是把应用的机密值(数据库认证、API key、加密密钥)汇总在一起的配置文件。由于钥匙集中在一个文件里,一旦被公开,所有机密就会一次性泄露。应把应用本体放到 docroot 之外,不要提交到 git,泄露后要把全部钥匙轮换掉。
什么是 RCE(远程代码执行)——为什么它是最糟一类的漏洞
RCE 是一种让攻击者能在服务器上执行任意代码的漏洞。它不止于信息泄露,而是直接通向被接管,属于最糟一类。被害范围由「该进程的权限」决定。防御的关键在于迅速更新、CVE 监控、最小权限。
什么是 SSRF(服务器端请求伪造)
SSRF 是利用外部输入的 URL,让服务器去访问内部资源(内部 IP 或云元数据)的攻击。只要做了去获取 URL 的功能,就必须有目标 allowlist、内部网络阻断,以及堵住重定向 / DNS 重新解析的绕过路径。它也是 Capital One 事故的入口。