The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

與網站遭入侵相關的詞彙解釋

以下詞彙解釋表涵蓋所有會在安全性說明文件中常提到的技術詞彙,以粗體文字表示,隨後附有詞彙定義。

管理員權限
管理員權限是系統中關於帳戶設定的最高等級權限。擁有這類權限者可執行各種操作,例如刪除整個網站、重設密碼或上傳檔案。

後門
在系統中安裝了後門程式就能規避驗證機制,並保有系統存取權。

偽裝
偽裝是指對使用者和搜尋引擎顯示不同內容或網址的手法。

舉例來說,動態指令碼和 .htaccess 規則可根據處理的要求傳回狀態碼。攻擊者可以使用偽裝手法隱藏形跡,對特定 IP 位址或瀏覽器傳回 404 或 500 錯誤代碼,同時對其他 IP 位址或瀏覽器提供垃圾內容。

設定檔
設定檔的用途是儲存動態網站的資訊,例如資料庫位置和憑證。

內容管理系統 (CMS)
內容管理系統是協助使用者輕鬆建立及編輯網站的軟體套件,例如 WordPress、Drupal 和 Joomla!,另外還有許多選擇,包括一些因應個人需求而開發的 CMS。

數位鑑識專家
數位鑑識專家是協助您清理網站的專業人員或小組,還能幫您判別網站遭到入侵的途徑。

靜態網頁
網站上的靜態網頁會使用不變的單一檔案顯示內容。

動態網頁
網站上的動態網頁會使用指令碼產生內容。每次收到要求時,動態網頁都會使用軟體產生頁面,同時併用指令碼和範本提供內容。

eval()
在 PHP 和 JavaScript 中,eval() 函式會評估字串並傳回結果。如果網站需要處理使用者輸入的內容,則不建議使用 eval() 函式,因為隨之產生的安全性漏洞會讓攻擊者暗中加入惡意程式碼 (亦即植入有害的 PHP 指令)。

FTP
檔案傳輸通訊協定 (FTP) 可用於將檔案從一部裝置傳輸到另一部裝置。

隱藏檔案
隱藏檔案是指預設不會顯示在目錄中的檔案。通常系統會隱藏 .htaccess 這類檔案,以免重要資訊不慎遭到修改。如要查看及編輯隱藏檔案,您必須調整檔案系統的設定。

HTTP 狀態碼
HTTP 狀態碼是使用者嘗試與網頁互動 (例如載入網頁或提交留言) 時,網路伺服器連同內容一併傳回的標準回應。這些狀態碼有助於使用者瞭解網站的回應情形或判別錯誤。請參閱全球資訊網協會的「狀態碼」頁面,其中列出了所有狀態碼及其意義。

iFrame
iFrame 可讓網頁顯示來自其他網頁的內容。駭客常使用隱藏 iFrame 手法將使用者重新導向至惡意網站。

紀錄檔
紀錄檔是網路伺服器用於記錄使用者要求的檔案,可追蹤在伺服器上執行的所有活動。需要判別入侵意圖或可疑的網站流量時,您可以查閱紀錄檔。

惡意軟體
凡是刻意危害電腦、電腦執行的軟體或電腦使用者的軟體,均屬於惡意軟體。進一步瞭解惡意軟體

模糊處理
模糊處理是用於混淆可辨識程式碼,讓程式碼更加難以判讀的一種手法。駭客常用的模糊處理方法包括替換字元、刻意混淆變數名稱、使用 base64/rot13/gzip/網址編碼/十六進位編碼這類編碼,或是合併使用這些方法。有時這些方法 (例如 base64 和 gzip) 也會用於壓縮及隱藏大量程式碼,例如整個 Web Shell。

網路詐騙
網路詐騙是社交工程的一種型態,會假冒信任的來源,誘騙使用者提供機密資訊 (例如使用者名稱或密碼)。舉例來說,網路詐騙者會以銀行名義傳送電子郵件給被害者,要求對方提供銀行帳戶憑證。 進一步瞭解網路詐騙

Search Console
Google Search Console 是 Google 提供的一項免費服務,能夠協助您監控及維持網站 Google 搜尋結果中的排名。此外,Google 會使用 Search Console 與網站管理員保持通訊,傳達網站問題。 進一步瞭解 Search Console

Sitemap
Sitemap 檔案內含網站上的網頁清單,可讓搜尋引擎瞭解網站內容的結構。 進一步瞭解 Sitemap

社交工程
社交工程手法會試圖誘騙使用者提供存取權 (而非直接採取程式碼攻擊途徑),藉此取得或控制機密資訊。網路詐騙是最常見的一種社交工程型態。 進一步瞭解社交工程

流量激增
流量激增是指網站流量突然或意外暴增。

雙重驗證 (2FA)
雙重驗證是要求提供至少兩項憑證才能登入帳戶的安全防護機制。舉例來說,使用雙重驗證時,使用者必須輸入密碼和透過簡訊接收的安全驗證碼,才能存取帳戶。

網站代管服務
網站代管服務可提供使用者代管網站所需的網路伺服器空間,例如 Google 協作平台。有些網站代管服務還會提供其他功能或工具。

網站指令碼語言
網站指令碼語言經常與 HTML 合併使用,為網站增添更多功能。舉例來說,您可以使用程式碼語言處理表單、管理留言或製造視覺特效。在遭入侵網站的修復指南中,程式碼語言一詞是指 PHP 或 JavaScript。

PHP 是伺服器端程式碼語言,表示網路伺服器解讀並執行指令。

JavaScript 主要是用戶端語言,表示使用者的瀏覽器解讀並執行指令。

網路伺服器
網路伺服器是代管及控制網頁和其他網站相關檔案的裝置與軟體。

Web Shell
Web Shell 是後門指令碼,可讓攻擊者保有伺服器存取權。

垃圾內容
垃圾內容是指惡意的搜尋引擎最佳化 (SEO) 手法,或是藉由欺騙及操縱搜尋引擎,進而提升網站排名或人氣的垃圾內容。