网络安全中的POC、EXP、Payload、ShellCode

什么是 POC、EXP、Payload？

POC：概念证明，即概念验证（英语：Proof of concept，简称POC）是对某些想法的一个较短而不完整的实现，以证明其可行性，示范其原理，其目的是为了验证一些概念或理论。 在计算机安全术语中，概念验证经常被用来作为0day、exploit的别名。

EXP：利用（英语：Exploit，简称EXP）一般指可利用系统漏洞进行攻击的动作程序。

Payload：中文 ’ 有效载荷 '，指成功exploit之后，攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。

借用红黑联盟翻译http://badishi.com/on-vulnerabilities-exploits-and-shellcodes/这篇文章中的语句就是： 一个利用程序(An exploit)就是一段通过触发一个漏洞（或者几个漏洞）进而控制目标系统的代码。攻击代码通常会释放攻击载荷（payload），里面包含了攻击者想要执行的代码。这个代码就是我们通常所说的shellcode

在中国实战化白帽人才能力白皮书中，编写系统层EXP和POC的能力被归为高阶能力。