Web安全术语——摘自IBM AppScan的帮助文档
使用AppScan安全扫描时,翻看帮助(F1)找到的这个术语表。文档中提到很多Web相关的名词,有助于认识大多数的安全类英文词组,了解最基本的意思。(建议多阅读官方文档,经常会有意外收获)
本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。
- 〔A〕
- 安全风险 (security risk)
- 威胁的潜在成功机会和可能继而发生的损害。
- 安全审计 (security audit)
- 系统或应用程序的手动或系统化可测量技术评估。
- 〔B〕
- 暴力 (brute force)
- 一种由程序发起的攻击,会尝试利用每种可能的凭证破坏系统的安全性。
- 编码攻击 (encoding attack)
- 通过更改用户所提供数据的格式,以绕过检查健全状态的过滤器,从而为攻击提供帮助的利用方法。
- 标识 (ID)
- 请参阅标识 (identifier, ID)。
- 标识 (identifier, ID)
- 用于识别或命名数据元素,也可能表示该数据元素某些属性的一个或多个字符。
- 表单属性 (form property)
- 自动填充表单时所使用的值。
- 并行登录 (concurrent login)
- 与其他登录同时发生的登录。
- 不充分反自动化 (insufficient anti-automation)
- 当 Web 站点准许攻击者自动执行只应手动执行的过程时产生的结果。
- 〔C〕
- CGI
- 请参阅公共网关接口。
- cookie
- 服务器存储在客户机上并在后续会话过程中访问的信息。通过 cookie,服务器可以检索有关客户机的特定信息。
- CVE
- 常见漏洞。 一个行业标准列表,其中列出了众所周知的常见信息安全漏洞。
- CVSS
- 常见漏洞评分系统。一个开放式框架,用于对与漏洞相关联的风险进行评分。
- CWE
- 常见缺陷列表。一个行业标准列表,其中列出了众所周知的常见软件缺陷。
- 操纵 (manipulation)
- 攻击者基于一个或多个属性,对数据元素、元素组、操作或操作组所做的修改。 例如,通过除去必须的参数或不按顺序执行步骤来修改输入。
- 测试策略 (test policy)
- 将扫描限制到测试的特定类别和类型的一项策略。
- 测试阶段 (Test stage)
- 扫描的一个阶段,在此期间被扫描的应用程序的对象和逻辑将提交到综合性密集攻击的典型、错误和模拟恶意使用技术,得出安全漏洞的完整清单。
- 测试请求 (Test request)
- 在扫描的测试阶段发送到应用程序的请求。测试请求为显示安全漏洞而设计。
- 测试修订 (test fix)
- 为特定客户提供的临时修订,用来在所报告问题的响应中进行测试。
- 〔D〕
- 代理 (proxy)
- 特定网络应用程序(如 Telnet 或 FTP)从一个网络到另一个网络的应用程序网关,例如,防火墙的代理 Telnet 服务器可执行用户的认证,然后使流量通过代理,就好像它不存在一样。 功能在防火墙而非客户机工作站中执行,这会加重防火墙的负荷。
- 代码注入 (code injection)
- 向应用程序中引进新代码的技术。攻击者可使用代码注入来向计算机程序中引进代码,以更改执行过程。
- 导出 (export)
- 用来将当前文档、数据库或图像的副本保存为另一应用程序所需的文件格式。
- 导入 (import)
- 用来读取对所使用的应用程序来说不为本机格式的文件。
- 登录序列 (login sequence)
- 自动或手动记录的 URL 和用户输入序列,AppScan 通过该序列登录到 Web 应用程序中。
- 电子欺骗 (spoofing)
- 伪造传输的发送地址以非法进入某个安全系统的技术。
- 调度程序 (scheduler)
- 多线程、多过程的后台服务器,旨在基于简单计时方案处理作业的调度和启动。
- 定制错误页面 (custom error page)
- 大多数 Web 服务器软件的一项功能,该功能使用户能够将缺省错误消息替换为针对应用程序定制设计的消息。
- 端口 (port)
- 用于在应用程序之间进行通信的端点,一般是指逻辑连接。端口提供队列用于发送和接收数据。各端口有一个端口号用于标识。
- 端口侦听器 (port listener)
- 可使产品通过侦听超出限制的连接来验证某些测试的机制。
- 多阶段扫描 (multiphase scan)
- 包含两个或更多阶段的扫描。
- 〔E〕
- 恶意软件
- 恶意软件或可执行代码,通常以看似无害的文件的形式下载或接收。
- 〔F〕
- Flash
- 一种使影片和动画能够在 Web 浏览器中无缝显示的编程方法。
- 反向工程 (reverse engineer)
- 分析设备或系统,以了解其设计、构造和操作的详细信息。
- 访问控制 (access control)
- 在计算机安全性中,用来确保用户仅能访问那些授权访问的计算机系统资源的过程。
- 风险分析 (risk analysis)
- 对在 Web 应用程序中所发现安全性问题的分析。
- 风险管理 (risk management)
- 对资源进行最佳分配,以达到对组织中防御措施的具有成本效益的投资。
- 风险评估 (risk assessment)
- 对某个操作或方案的优势和结果进行的评估。
- 父节点 (parent node)
- 包含当前节点的节点。
- 〔G〕
- Glass Box
- 与“黑匣测试”不同(它是将内容不可见的应用程序视为“黑匣”),Glass Box 测试会检查应用程序的代码从而“窥探箱子内部”。 这意味着 Glass Box 测试可以准确地找出黑匣测试无法发现的安全漏洞。
- 个人识别号码 (personal identification number, PIN)
- 在 Cryptographic Support 中,由组织指定给个人用作身份证明的唯一号码。 PIN 一般由金融机构指定给其客户。
- 公共网关接口 (Common Gateway Interface, CGI)
- 用来定义以下类型脚本的因特网标准:这些脚本通过 HTTP 请求将信息从 Web 服务器传递到应用程序,反之亦然。
- 攻击 (attack)
- 未授权的个人想要破坏软件程序或网络系统的操作而进行的所有尝试。 另请参阅攻击者 (attacker)。
- 攻击者 (attacker)
- 试图破坏信息系统,或者对并不提供一般访问的信息进行访问的用户(人或计算机程序)。 另请参阅黑客、攻击。
- 〔H〕
- HTML 表单元素 (HTML form element)
- 允许用户输入信息的元素,如表单中的文本字段、文本区域字段、下拉菜单、单选按钮或复选框。
- HTTP 请求 (HTTP request)
- 扫描的探索或测试阶段发送到站点的请求。
- HTTP 响应 (HTTP response)
- 由服务器所发送的响应。
- 行业标准报告 (Industry Standards report)
- 根据所选行业标准对用户 Web 应用程序上发现的问题及相关信息的报告。 “AppScan 行业标准”报告包括 SANS Top 20,OWASP Top 10 和“WASC 威胁分类”。
- 合规性报告 (regulatory compliance report)
- 对在 Web 应用程序上所发现与所选法规或法律标准不相符的问题的报告。 法规包括加拿大、欧盟、日本、英国、美国的“法案”、“议案”和“法律”,以及 MasterCard 和 Visa 的规范。 还可创建定制的合规一致性报告模板。
- 黑客 (hacker)
- 尝试访问系统上受保护资源的未授权的个人。
- 黑匣 (black box)
- 如果检查应用程序输出时不会引用到其内部代码,可将应用程序称为“黑匣”;因为应用程序的内容不可见,测试视其为“黑匣”,所以可将测试称为“黑匣测试”。 与 Glass Box 比较
- 后端 (back end)
- 计算机系统(如数据库管理系统)的一组支持组件。
- 缓冲区 (buffer)
- 内存的保留段,用来保存正在处理的数据。
- 缓冲区溢出 (buffer overflow)
- 通过覆盖部分内存来修改应用程序流的利用方法。缓冲区溢出是软件故障的常见原因。
- 会话 (session)
- 网络上两个站、软件程序或设备之间逻辑或虚拟的连接,可使两个元素进行通信和交换数据。 另请参阅事务
- 会话标识 (session ID)
- 请参阅会话标识
- 会话标识 (session identifier, session ID)
- 攻击者对用户会话进行的破坏。攻击者可以复用所窃取的会话以假冒用户。
- 会话定置 (session fixation)
- 允许攻击者定置用户会话标识并采用其在线身份的一种攻击方法。
- 会话劫持 (session hi-jacking)
- 攻击者对用户会话进行的破坏。攻击者可以复用所窃取的会话以假冒用户。
- 会话令牌 (session token)
- 作为参数或 cookie 通过浏览器发送的标识,以便在用户与他们在 Web 应用程序上的当前会话之间相互关联。另请参阅会话标识 (session identifier, session ID)和瞬态令牌 (transient token)。
- 会话凭证 (session credential)
- 由 Web 服务器提供的一串数据,存储在 cookie 或 URL 中,用于识别用户和授予用户执行各种操作的权限。
- 会话中检测 (in-session detection)
- AppScan 所接收响应中对于会话中模式的检测,以验证该会话是否仍处于登录状态。
- 会话中模式 (in-session pattern)
- 登录页面中识别的模式,如 AppScan 可用来验证其是否仍处于登录状态的注销链接。
- 〔J〕
- Java™ applet
- 以 Java 编写的 applet,可通过使用 Java 虚拟机 (JVM) 在 Web 浏览器中运行。
- Java 虚拟机 (Java virtual machine, JVM)
- 可运行编译的 Java 代码(applet 和应用程序)的处理器的软件实现。
- 加密 (encryption)
- 将数据变换为无法辨认的形式的过程,这样原始数据便无法被获取或者只能通过解密过程获取。
- 交互式 URL (interactive URL)
- 包括将由用户手动填充的表单的 URL。
- 阶段 (phase)
- 包括探索阶段(后跟扫描测试阶段)的过程。
- 阶段 (stage)
- 扫描阶段的一部分,在此期间AppScan 可对站点进行探索或测试。
- 阶段限制 (phase limit)
- 扫描允许的阶段数量最大值。此限制可配置。
- 结构化查询语言 (Structured Query Language, SQL)
- 用于定义和操控关系数据库中的数据的一种标准化语言。
- 结构化查询语言注入 (Structured Query Language injection, SQL injection)
- 一种通过操纵应用程序输入来修改后端 SQL 语句,从而对 Web 站点加以利用的攻击方法。
- 结果专家
- 可选功能,可在扫描后运行以将 CVSS 设置、屏幕快照和其他信息添加到扫描结果的“问题信息”选项卡。
- 解析 (parse)
- 用来将一系列信息(如命令或文件)分解为若干组成部分。
- 拒绝服务攻击 (denial-of-service attack, DoS)
- 在计算机安全中,对网络的攻击,它会破坏网络上的一台或多台主机,致使主机无法正确执行其功能。网络服务会中断一段时间。
- 角色 (role)
- 一组许可权。
- 〔K〕
- 可预测的资源位置 (Predictable Resource Location)
- 一种用于发现隐藏的 Web 站点内容和功能的攻击方法。攻击会搜索标准位置中不是旨在供公共查看的内容,如临时文件、备份文件、配置文件或示例文件。
- 可执行文件 (executable)
- 可在特定环境中运行的程序文件。
- 客户机 (client)
- 用户与网络连接的工作站。另请参阅主机 (host)。
- 客户机端 (client-side)
- 与在客户机应用程序而非服务器上执行的操作有关。
- 跨站点脚本编制 (cross-site scripting, XSS)
- 一种强制 Web 站点回传客户机所提供的数据的攻击方法,此种攻击方法在用户的 Web 浏览器中执行。
- 扩展支持方式 (extended support mode)
- 可使用户记录用途选项和行为,并保存文件中的数据以将其发送到技术支持的一种方式。
- 〔L〕
- 链接抽取 (link extraction)
- 为从 Web 应用程序中发现和收集链接而进行的代码解析或执行。
- 漏报 (false positive)
- 分类为肯定的测试结果(表明站点易受到攻击),但用户认定其实际为否定(并非漏洞)。
- 漏洞 (vulnerability)
- 操作系统、系统软件或应用程序软件组件中的安全隐患。
- 路径(path)
- URL 中指向因特网资源位置的部分。
- 路径遍历 (path traversal)
- 修改 URL 中所请求的文档或资源位置并强制访问驻留在 Web 文档根目录外部的文件、目录和命令的一种攻击技术。
- 路径过滤 (path filtering)
- 根据设置条件滤除或包含页面的过程。
- 〔M〕
- 模式 (pattern)
- 使用一个或多个正则表达式来描述欲识别文本的方法。
- 目录遍历 (directory traversal)
- 一种通过访问文档根目录之外的文件和命令来对 Web 站点加以利用的方法。
- 目录索引 (directory indexing)
- 无索引页面时显示目录内容的一项 Web 服务器功能。
- 〔N〕
- NTLM
- 请参阅 Windows NT LAN Manager。
- 〔P〕
- PIN
- 个人识别号码。
- 排除 (exclusion)
- 测试期间排除其值的参数或过程。
- 平台 (platform)
- 操作系统硬件(构成程序所运行的操作环境)的组合。
- 〔Q〕
- 嵌入式浏览器 (embedded browser)
- 嵌入 AppScan 中的 Web 浏览器,打开时有一个用于进行扫描的特殊工具栏。
- 侵入式测试 (invasive test)
- 如果在应用程序上运行可能会引起拒绝服务状态的可选测试。
- 清理 (sanitize)
- 在 Web 应用程序安全性范畴内,在使用用户输入之前清理用户输入中的有害或危险字符的操作。
- 区分大小写 (case-sensitive)
- 与区分大写字母和小写字母有关的能力。
- 〔R〕
- 认证 (authentication)
- 验证用户或服务器身份的过程。
- 认证测试器 (Authentication Tester)
- 一种类似于蛮力攻击的测试实用程序。PowerTool 之一。它用于检测能够被用来获取对用户 Web 应用程序的访问权的弱用户名-密码组合。
- 冗余路径限制 (redundant path limit)
- 扫描中扫描同一路径的次数的最大值,目的是减少扫描时间和消除重复结果。
- 〔S〕
- shell
- 用户和操作系统之间的软件接口。Shell 一般属于以下两个类别之一:命令行 shell,可为操作系统提供命令行界面;图形 shell,可提供图形用户界面 (GUI)。
- SQL 注入 (SQL injection)
- 请参阅“结构化查询语言”注入。
- 扫描 (scan)
- AppScan 探索和测试应用程序并提供结果的过程。
- 扫描模板 (scan template)
- 可装入以用于扫描的扫描配置。
- 扫描配置 (scan configuration)
- 用来定义用户的应用程序/服务、环境和所选扫描方法的 AppScan 设置的集合。
- 扫描专家
- 可探索应用程序和网络行为,建议更改配置,以优化扫描的可选功能。
- 扫描专家分析模块 (Scan Expert analysis module)
- 分析期间由扫描专家所做的单一检查。
- 扫描专家评估 (Scan Expert evaluation)
- 扫描专家对用户配置的评估。
- 深度 (depth)
- 用户或自动搜寻器从源页面来到目标页面所需单击的次数。
- 渗透测试 (penetration test)
- 一种通过模拟黑客攻击来评估 Web 应用程序安全性的方法。
- 事务 (transaction)
- (发到应用程序的)请求和它所产生的(来自应用程序的)响应。
- 手动探索 (manual explore)
- 手动对 Web 应用程序中进行搜寻以访问和测试依赖于实际用户输入的站点部分的这一过程。
- 授权 (authorization)
- 授予用户的一种权限,用来与计算机系统通信或进行利用。
- 数据库服务 (database service)
- 数据库中可提供数据的存储和检索的服务。
- 数据库管理系统 (database management system, DBMS)
- 一种软件系统,可控制数据库的创建、组织和修改以及其中所存储数据的访问权。
- 数字溢出 (numeric overflow)
- 算术计算所得出的结果超出所能容纳空间的情况。
- 瞬态令牌 (transient token)
- 其值会发生更改的令牌(通常为会话令牌)。发送到期的瞬态令牌可能会导致 AppScan 从其正在测试的应用程序中注销,因此必须保持瞬态令牌为最新状态。另请参阅会话令牌 (session token)。
- 搜寻 (crawl)
- 跨因特网或内部网上的各种 Web 页面来搜索信息。
- 〔T〕
- 探索阶段 (Explore stage)
- AppScan 扫描的一个阶段,期间应用程序的逻辑和对象可在测试前进行识别。
- 探索设置 (Explore setting)
- 用来配置参数的一种设置,该参数可管理 AppScan 如何探索应用程序。
- 特权升级 (privilege escalation)
- 对使用不同用户特权运行的扫描进行引用的过程,目的是测试访问权不足的用户是否可访问特权资源。
- 提示 (prompt)
- 请求信息或用户操作的消息或显示符号。 用户必须响应才可以让程序继续。
- 条件模式 (condition pattern)
- 正则表达式中,由正则表达式定义的模式。 正则表达式可用来查找与模式匹配的项。
- 调试命令 (debug command)
- 一种功能或命令,可在软件开发过程中辅助识别程序错误。
- 通信超时 (communication timeout)
- 等待特定的一段时间后,意图结束一项未完成的任务。
- 统一资源定位符 (Uniform Resource Locator, URL)
- 在诸如互联网之类的网络中,可访问的信息资源的唯一地址。URL 包括用于访问信息资源的协议的缩写名称和此协议用于定位信息资源的信息。
- 图形用户界面 (graphical user interface, GUI)
- 一种计算机界面,通过将高分辨率的图形、定位设备、菜单栏及其他菜单、重叠的窗口、图标和对象操作关系相组合,来对现实世界情景进行可视的呈现(通常采用桌面的方式)。
- 〔U〕
- UNIX
- 可移植性很高的操作系统,在多用户环境中有多种程序设计功能。 UNIX 操作系统最初针对小型计算机上的使用而开发,但后来为适用于大型机和微型计算机而进行了改动。 AIX® 操作系统是 UNIX 操作系统的 IBM 实施。
- URL
- 请参阅统一资源定位符。
- 〔W〕
- Windows NT LAN Manager (NTLM)
- 各种 Microsoft 网络协议中用于认证的协议。
- WSDL
- 请参阅“Web 服务描述语言 (Web Services Description Language, WSDL)”。
- Web Service
- 可执行特定任务的应用程序,并可通过 HTTP 和 SOAP 之类的开放式协议访问。
- Web 安全性 (web security)
- 与万维网、HTTP 和 Web 应用程序软件相关的信息安全性理论和实践。
- Web 服务描述语言 (Web Services Description Language, WSDL)
- 基于 XML 的规范,用来将网络服务描述为一组在包含面向文档或面向过程信息的消息上进行操作的端点。
- Web 服务器 (web server)
- 一种能够服务超文本传输协议 (Hypertext Transfer Protocol, HTTP) 请求的软件程序。
- Web 浏览器 (web browser)
- 一种客户机程序,向 Web 服务器发起请求并显示服务器返回的信息。
- Web 内容 (web content)
- 构成 Web 站点的文件和其他资源。Web 内容可包括图像文件、音频文件、HTML 文件、JSP 文件、样式表、数据库条目或任何可在 Web 站点上看到的内容。
- Web 应用程序 (web application)
- Web 浏览器可访问的应用程序,提供信息静态显示之外的某种其他功能(例如,允许用户查询数据)。Web 应用程序的常见组件包括 HTML 页面、JSP 页面和 servlet
- 外围组件互连 (Peripheral Component Interconnect, PCI)
- 在处理器和连网设备间提供高速数据路径的本地总线。
- 完整路径名 (full path name)
- 任何目录或文件的名称,表现形式为以根目录开头、后接目录和文件的字符串。
- 网络服务 (network service)
- 在网络中传输数据或提供数据转换的服务。
- 危险字符 (hazardous character)
- 用来执行 Web 应用程序攻击(如 XSS 或 SQL 注入)的字符。
- 威胁 (threat)
- 一种安全问题,或有害操作,如病毒的部署或非法网络渗透。
- 威胁类 (threat class)
- 一组安全问题,按照 WASC-TC 类别分类到一起。对于每个威胁类,都有许多特定测试;对于每个测试,都有许多变体。
- 问题 (issue)
- Web 应用程序易受其攻击的安全风险,或者可能是未经授权的用户可视的敏感信息。
- 无状态协议 (stateless protocol)
- 不维护命令之间的关系的协议。HTTP 就是无状态协议的一个示例。
- 〔X〕
- XSS
- 请参阅 跨站脚本 (cross-site scripting, XSS)。
- 线程 (thread)
- 过程控制中的计算机指令流。在某些操作系统中,线程是过程中最小的操作单位。 若干线程可以并行运行,执行不同作业。
- 限制 (restriction)
- 可将扫描仅限于列出的 URL 的过滤器的类型。
- 相对路径 (relative path)
- 以当前工作目录开头的路径。
- 修订建议 (fix recommendation)
- 关于修订 Web 应用程序以针对已发现的问题加以防护的特定技术详细信息。
- 修复 (remediation)
- 有关如何修订问题的建议。
- 许可权 (permission)
- 执行活动(如读取和撰写本地文件、创建网络连接和装入本机代码)的权限。
- 序列 (sequence)
- 记录的 URL 的列表。
- 〔Y〕
- 严重性等级 (severity rating)
- 扫描对问题指定的级别,表示其所代表的安全风险。
- 验证 (validation)
- 验证某项测试达到其目标是成功还是失败的过程。
- 隐藏的参数 (hidden parameter)
- 未呈现在 Web 页面中的 HTML 表单参数。
- 应用程序测试 (application test)
- 一种测试类型,关注应用程序逻辑以及由不安全软件开发产生的问题。
- 应用程序服务器 (application server)
- 分布式网络中的一种服务器程序,用于为应用程序提供执行环境。
- 应用程序生命周期 (application lifecycle)
- 产品所经过的连续阶段,从开发到生产。
- 应用程序树 (application tree)
- Web 应用程序结构的一种树形视图显示,包括目录和文件。
- 硬编码 (hard-coding)
- 用来将输出或配置数据直接嵌入到程序或其他可执行文件对象的源代码中的软件开发方法。
- 用户定义的测试 (user-defined test)
- 除自动创建并运行的测试外,由用户创建的测试。
- 语法 (syntax)
- 构造命令或语句的规则。
- 域 (domain)
- 同一安全数据库控制下的客户机和服务器的子网。
- 元字符 (metacharacter)
- 模式处理期间有特殊意义的 ASCII 字符。此类字符用来代表处理期间可匹配的单字节或多字节字符模式。
- 源代码 (source code)
- 以人可读的格式编写的计算机程序。源代码转换为计算机可使用的二进制代码。
- 〔Z〕
- 增量 (delta)
- 两个实例之间的差异或递增值。
- 正则表达式 (regular expression)
- 在搜索模式中定义字符串或字符串组的一组字符、元字符和运算符。
- 中断链接 (broken link)
- 选定时会返回无效响应的链接。
- 主机 (host)
- 连接到网络并提供此网络的访问点的计算机。主机可以是客户机、服务器或同时为客户机和服务器。另请参阅客户机 (client)
- 转储文件 (dump file)
- 不带任何报告格式化的内存内容。
- 状态引导器 (State Inducer)
- 使用记录的 URL 序列来引导依赖于状态的测试所需的特定服务器端状态的工具。
- 咨询 (advisory)
- 包含有关威胁或漏洞的信息与分析的文档。
- 子节点 (child node)
- 另一节点作用域中的节点。
- 字符编码 (character encoding)
- 一种由代码组成的字符集,可将给定集合中的字符序列与其他序列配对,如与自然数、八位元或电脉冲的序列配对。 编码可通过远程通信网络加强文本的存储和传输。