Экспло́йт (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака). Вирус для уничтожения программ, игр, приложений.
В зависимости от метода получения доступа к уязвимому программному обеспечению эксплойты подразделяются на удалённые (англ. remote) и локальные (англ. local).
Атака эксплойта может быть нацелена на различные компоненты вычислительной системы — серверные приложения, клиентские приложения или модули операционной системы. Для использования серверной уязвимости эксплойту достаточно сформировать и послать серверу запрос, содержащий вредоносный код. Использовать уязвимость клиента немного сложнее — требуется убедить пользователя в необходимости подключения к поддельному серверу (перехода по ссылке в случае если уязвимый клиент является браузером).
Эксплойты фактически предназначены для выполнения сторонних действий на уязвимой системе и могут быть разделены между собой следующим образом:
Под термином pivoting (англ. поворот) понимается метод, используемый тестировщиками компьютерной безопасности при тестах на проникновение,[2] который использует взломанную систему для атаки на другие системы в той же сети, чтобы избежать ограничений, таких как конфигурации брандмауэра, которые могут запрещать прямой доступ ко всем машинам. Например, если злоумышленник взламывает веб-сервер в корпоративной сети, злоумышленник может затем использовать взломанный веб-сервер для атаки других систем в сети. Эти типы атак часто называют многоуровневыми.[3]
Эксплойт может распространяться в виде исходных текстов, исполняемых модулей или словесного описания использования уязвимости. Он может быть написан на любом языке программирования (наиболее часто использующиеся: C/C++, Perl, Python, PHP, HTML+JavaScript)[4].