1.4　重要术语

我们已经熟悉了一些标准，在接下来的章节中，我们大量使用以下重要术语：

·漏洞（vulnerability）：系统中的弱点，可能导致攻击者能够进行未经授权的访问。

·欺骗（spoofing）：为了获得非法利益，个人或程序成功地将数据伪装成其他内容的情况。

·漏洞利用（exploit）：一段代码，一个程序，一个方法或一系列命令，它们利用漏洞来获得对系统/应用程序的未授权访问。

·载荷（payload）：在利用漏洞期间/之后，在目标系统上执行任务所需的实际代码。

·风险（risk）：任何可能影响数据的机密性、完整性和可用性的因素。未打补丁的软件、配置错误的服务器、不安全的Internet使用习惯等都会造成风险。

·威胁（threat）：任何可能对计算机系统、网络或应用程序造成严重伤害的因素。

·黑盒（black box）：一种测试方法，在测试之前不向测试人员提供有关系统内部架构或功能的信息。

·白盒（white box）：一种测试方法，在测试之前，会向测试人员提供系统的内部架构和功能的全部信息。

·Bug悬赏（bug bounty）：Bug悬赏计划是许多网站和开发人员提供的一项协议，允许个人因报告Bug（特别是与漏洞利用和漏洞相关的Bug）而受到奖励。

·SAST（Static Application Security Testing，静态应用程序安全性测试）：一种安全性测试形式，主要是对应用程序源代码进行检查。

·DAST（Dynamic Application Security Testing，动态应用程序安全测试）：一种用于检测处于运行状态的应用程序中是否存在安全漏洞的技术。

·模糊测试（fuzzing）：一种自动测试技术，将无效、非预期的或随机数据作为输入提供给应用程序。

我们已经知道了这些重要术语的定义，接下来我们继续学习测试方法。