1、webshell

這是“黑客”在web網站留下的網頁后門程序，一般由一些網頁程序編寫，來執行一些特殊的功能。如PHP、ASP等。如它可以執行某些命令，如果web網站管理員對服務器權限設置出現漏洞。“黑客”可以通過它，直接進行網站的文件管理，如果權限足夠大，“黑客”還可以進行該服務器的磁盤管理，注冊表讀取，數據庫管理及添加超級用戶等等。

2、網頁木馬

即在“黑客”拿到某臺web服務器webshell后。植入在此服務器的病毒程序。也就是常說的掛馬。（目前很多的網站攻擊都是有目的性的掛馬，來達到不可告人的目的）。網頁木馬一般是利用系統（一般是IE瀏覽器）漏洞，執行程序內代碼達到下載木馬病毒文件或者廣告程序。一旦有IE漏洞的用戶瀏覽被掛馬的網站，就會中招。

3、小馬

簡單短小的webshell程序。或者說是能達到特定功能的網頁頁面。小馬的目的一般只有一個，即在web服務器上新建一個文件，來達到某種特定的功能。如上傳文件。一般用來上傳大馬之用。小馬由于代碼短少，體積小（有些網站對用戶所上傳文件大小有所限制）所有應用廣泛。

4、大馬

功能比小馬強大，如果web站點系統配置上出現的疏忽漏洞,就可以執行如文件管理，磁盤管理，數據庫管理，注冊表讀取等等（只要權限足夠大)……當然它的體積要大很多。通過大馬本身的功能再加上統配置上出現的疏忽漏洞，就可以拿到更高的權限！來達到控制web服務器的目的！

在此有必要提下，很多的教程中一般是先上傳小馬，再傳大馬。只要是網站沒限制，也可以直接上傳大馬。小馬一般只是在受限的條件下才使用。

5、注入

由于程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，一般通過服務器的報錯信息得到一些敏感信息。注入只針對于與數據庫有交互的頁面！

6、注入點

即存在注入的頁面。一般和數據庫有交互，或者說有調用數據庫的過程發生。

7、cookie

又名“小甜餅“簡單來說，Cookie就是服務器暫存放在你的電腦里的資料，好讓服務器用來辨認你的計算機。當你在瀏覽網站的時候，Web服務器會先送一小小資料放在你的計算機上，Cookie 會幫你在網站上所打的文字或是一些選擇都記錄下來。當下次你再訪問同一個網站，Web服務器會先看看有沒有它上次留下的Cookie資料，有的話，就會依據Cookie里的內容來判斷使用者，送出特定的網頁內容給你，沒有就在你的電腦上寫入cookie（前提是IE是接受cookie的）。

比如小組的論壇，當你登陸后，就會在你的電腦上寫入cookie信息，當你下次訪問時，就能返回已登陸狀態。當然，cookie也很容易泄密。建議定期清除cookie信息。

8、cookie欺騙

由于目前許多的論壇都使用了cookie技術以避免多次輸入密碼，所以只要對服務器遞交給用戶的cookie進行改寫就可以達到欺騙服務程序的目的！

比如，假如把cookie的值修改成管理員或其他更高權限。就可以輕松欺騙服務器，達到提權的目的，當然，cookie也可以配合跨站等技術進行。

9、XSS跨站

它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。XSS屬于被動式的攻擊！

攻擊者一般會構造一些特定的html頁面來達到XSS的目的，比如掛馬，甚至構造一個讀取Cookie的頁面，就能讀取用戶的Cookie信息，一旦有管理員權限的用戶點擊，攻擊者配合Cookie欺騙達到不可告人的目的！

10、Google黑客

利用google的強大搜索功能，來獲得一些站點的敏感信息。比如網站內部鏈接，內部文件等等！

常用語法：

intext: 網頁正文內容

intitle:搜索網頁標題

filetype: 搜索網頁文件類型 如filetype: doc即搜索DOC文件

info:  查找指定站點的一些基本信息.

inurl:搜索我們指定的字符是否存在于URL中，一般用來搜索后臺頁面或找SQL注入點