[web安全] 基本概念（持续更新）

0.渗透性测试（Penetration Test）：通过模拟恶意黑客的攻击，来评估计算机网络系统是否安全的一种方法。

1.跨站脚本攻击：通常指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本，从而在浏览网页时，控制用户浏览器的一种攻击。

2.SQL注入：程序对于用户的输入未作处理就直接放到SQL语句中执行，导致用户输入的特殊字符可以改变语句的原有逻辑，结果可执行任意的SQL语句。

3.CSRF：攻击者构造合法的HTTP请求，随后利用用户的身份操作用户帐户的一种攻击方式。

4.文件上传漏洞：用户上传了一个可执行的脚本文件，并通过此脚本获得了执行服务器端命令的能力。

5.C段渗透：攻击者通过渗透同一网段内的一台主机对目标机器进行ARP等手段的渗透。

6.代码注入：OWASP将其定义为在客户端提交的代码在服务器端接收后当作动态代码或嵌入文件处理。而wikipedia将其定义为客户端所提交的数据未经检查就让Web服务器去执行。

7.文件包含：在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入。