网络安全低端局面试红队行话大全

最近在忙网络安全招聘，收到了大量海投简历，真的万紫千百家争鸣，不禁感慨，为什么学材料的，学建筑的都跑来做黑客了呢？但是当问到什么是缓冲区溢出都回答不上来。这个圈子也开始卷起来了，我看到一些培训班，只要1块钱甚至2分钱，就送一堆视频录像课，说什么零基础黑客速成，把理想说的很丰满，把一个30多岁的大叔都忽悠去买VIP课程~

所谓的黑客教学，网络安全行业充斥着大量低端市场，骗无知的小朋友糖果钱，虽然网络是虚拟的，你把握不住，但是京东双十一买本书是实实在在滴，《线上幽灵》是一本真实黑客自传小说，和电影里的假黑客太不一样哦，买它，黑客可能就在你的身边~

写几个自己面试中，经常喜欢提问的问题，附带答案的哦，虽然都是一句话解释，还不一定都对，但是懂的都懂，嘿嘿嘿，看到就是赚到~

• 什么是肉鸡？

你的电脑被黑客控制后，你的电脑就是肉鸡

• 什么是僵尸网络？

黑客控制的庞大肉鸡鸡群

• 什么是木马？

伪装成正常应用的恶意软件，可以看看特洛伊木马神话故事

• 什么是网页木马？

将恶意代码植入网页中，诱骗受害者访问

• 什么是挖矿木马？

黑客利用肉鸡进行门罗币挖矿

• 什么是恶意软件？

背地里干一些不道德的事情的软件

• 什么是间谍软件？

偷偷收集用户信息的软件，比如偷拍

• 什么是后门？

方便黑客再次光临肉鸡的特殊通道

• 什么是rootkit？

黑客工具箱，里面一堆黑客工具，为了牢牢控制住肉鸡

• 什么是蠕虫病毒？

具有传染性的计算机病毒，往往一个局域网都会中毒

• 什么是震网病毒？

战争工具，美国针对伊朗核武器离心机发起的破坏性病毒

• 什么是勒索病毒？

加密或者删除文件，问你要求的病毒，及时备份才是解决之道

• 什么是攻击载荷？

漏洞利用核心代码，是MSF重要一环

• 什么是嗅探器？

wireshark就是非常著名的嗅探器

• 什么是弱口令？

12345就是非常著名的弱口令

• 什么是漏洞？

软件的缺陷就是漏洞

• 什么是远程命令执行漏洞？

这个漏洞可以让黑客执行自己的命令

• 什么是0day漏洞？

只有自己知道的漏洞

• 什么是1day漏洞？

刚刚公开的漏洞

• 什么是Nday漏洞？

已经发布了补丁，但是用户没有安装补丁的漏洞

• 什么是挂马？

篡改受害者网站首页

• 什么是挖洞？

漏洞挖掘，提交到漏洞盒子平台

• 什么是加壳？

加密软件代码，防止被逆向破解

• 什么是溢出？

对用户输入没有做限制，可能造成系统崩溃

• 什么是缓冲区溢出？

在缓冲区中写入超出容量的数据

• 什么是注入？

向系统中写入代码或执行命令

• 什么是SQL注入？

向数据库中注入SQL语句，改变原本的功能

• 什么是注入点？

某个网页请求了数据库，这个网页就是潜在的注入点

• 什么是软件脱壳？

暴露软件的原本信息，方便进行后续的逆向分析

• 什么是免杀？

绕过杀毒软件或防火墙

• 什么是暴力破解？

高频率的尝试

• 什么是泛洪攻击？

高频率的占用网络资源，阻止别人正常使用

• 什么是SYN攻击？

疯狂消耗TCP半连接队列

• 什么是DoS攻击？

拒绝服务就是让用户用不了，可以封号解决

• 什么是DDoS攻击？

分布式拒绝服务就是人多力量大，封号也解决不了

• 什么是抓鸡？

就是利用1day或者N day 疯狂控制有漏洞的电脑

• 什么是端口扫描？

就是通过工具探测端口/服务是否开放

• 什么是花指令？

把安全分析人员搞的耳鸣眼花的无用代码，对抗分析

• 什么是反弹端口？

绕过防火墙的限制

• 什么是网络钓鱼？

网络诈骗信息，比如搞个假的QQ邮箱，说你密码泄露，骗你改密码

• 什么是鱼叉攻击？

针对特定人群进行网络钓鱼诈骗，比如色情诱惑年轻人

• 什么是钓鲸攻击？

针对高管进行网络诈骗，比如乐视骗股东的钱

• 什么是水坑攻击？

在受害者经常访问的网站上投毒，让受害者非常坚信骗子是好人

• 什么是APT攻击？

高级持续威胁，各个国家都有APT组织，多存在军方背景

• 什么是C2？

命令控制，对大量肉鸡进行统一管理

• 什么是供应链攻击？

攻击银行的上游供应商

• 什么是社会工程学？

就是利用人性的弱点进行骗人

• 什么是日站？

就是入侵网站，拿到网站控制权

• 什么是提权？

就是拿到主机的控制权

• 什么是渗透？

就是有深度的入侵，比如kali工具箱的MSF

• 什么是横向移动？

入侵后，寻找更多关键网络资源

• 什么是跳板？

辅助黑客完成入侵的中间主机

• 什么是黑页？

入侵成功之后，炫耀自己的技术

• 什么是暗链？

SEO作弊方法之一，提高网站排名

• 什么是拖库？

导出数据库中的关键数据

• 什么是撞库？

利用网站A的密码，去尝试网站B的密码

• 什么是暴库？

让数据库暴露出一些敏感信息

• 什么是CC攻击？

压力测试，拒绝服务的一种

• 什么是WebShell？

网站后门，可以执行任意命令

• 什么是跨站攻击？

向网站中注入JavaScript代码

• 什么是中间人攻击？

两头骗攻击

• 什么是薅羊毛？

优惠券、红包之类的活动

• 什么是商业电子邮件攻击？

伪造邮件，把领导当傻子骗

• 什么是电信诈骗？

手机短信诈骗，比如你中奖了，请交250块钱个人所得税

• 什么是杀猪盘？

诱导投资、赌博

• 什么是ARP攻击？

黑客伪造ARP应答报文

• 什么是欺骗攻击？

伪造假的地址

• 什么是Shellcode？

一段可以获得Shell的二进制代码

• 什么是物理攻击？

物理打击

• 什么是黑产？

不正当的收入，容易进监狱

• 什么是暗网？

洋葱浏览器访问的骗子网站

• 什么是黑帽黑客？

比较坏的黑客，从事黑产

• 什么是白帽黑客？

比较乖的黑客，提交漏洞

• 什么是红帽黑客？

有正义感的黑客，小白居多

• 什么是红队？

攻击方（有的地方叫防守方）

• 什么是蓝队？

防守方（有的地方叫攻击方）

• 什么是紫队？

裁判

哎呦，你竟然能看到这，牛逼牛逼，不点个赞再走吗？不要下次一定，就这次~