词汇表

本词汇表提供 [产品名称] 软件和产品的术语及定义。

本术语表中使用下列交叉引用:
  • 请参阅从非首选术语指引您参阅首选术语或者从缩写指引您参阅拼写完整的形式。
  • 另请参阅指引您参阅相关或对比术语。

有关其他术语和定义,请参阅 HCL 术语 Web 站点(在新窗口中打开)。

A

滥用功能 (abuse of functionality)
利用 Web 站点自身的特性和功能来使用、欺诈或阻挠访问控制机制的一种方法。
接受的 cookie (accepted cookie)
浏览器接受的 cookie,不会受到浏览器的任何限制。
访问控制
在计算机安全性中,用来确保用户仅能访问那些授权访问的计算机系统资源的过程。
咨询 (advisory)
包含有关威胁或漏洞的信息与分析的文档。
applet
一种执行特定任务的程序,通常可在操作系统之间移植。applet 通常用 Java 编写,可从因特网下载,并且可在 Web 浏览器中运行。
应用程序
一个或多个计算机程序或软件组件,用于在特定业务流程或过程的直接支持中提供功能。另请参阅应用程序服务器
应用程序服务器
这是分布式网络中的服务器程序,它为应用程序提供执行环境。另请参阅应用程序
应用程序树计数器 (application tree counter)
应用程序树各节点旁边括号中的数字系列,用于指示此分支中的项目数量。
攻击 (attack)
未授权的个人想要破坏软件程序或网络系统的操作而进行的所有尝试。另请参阅攻击者
攻击者 (attacker)
尝试破坏信息系统或访问并非用于常规访问的信息的用户(人或计算机程序)。另请参阅攻击者黑客
认证点 (authentication point)
包含鉴别符(在使用基于表单的认证时)或者已通过鉴别符进行访问(在使用 HTTP、NT Lan Manager 或基于证书的验证时)的内容资产。
鉴别符 (authenticator)
在 Kerberos 协议中,由客户机生成并通过凭单发送的一串数据,此凭单供服务器用于认证客户机的身份。

B

后门 (back door)
系统安全的漏洞。它可以被黑客利用来访问敏感信息,或者供程序员用于维护和测试。
布尔表达式
求值结果为布尔值的表达式。另请参阅布尔值
布尔值
可以为 true 或 false 的值,有时会分别编码为 1 或 0。另请参阅布尔表达式
中断的访问控制 (broken access control)
因对已认证用户实施的限制不够严格而产生的漏洞。攻击者可以利用这些缺陷访问其他用户的帐户、查看敏感文件或使用未授权的功能。
中断的认证和会话管理 (broken authentication and session management)
当帐户凭证和会话令牌未正确受到保护时出现的问题。攻击者会破坏密码、密钥、会话 cookie 或其他标记,并且可以采用其他用户的身份。
蛮力攻击 (brute force attack)
使用重复性试错法在 Web 应用程序上获取有效帐户的用户名和密码的一种攻击。如果成功,攻击者即可访问信用卡号、密钥、机密文档概要文件数据以及用于管理 Web 应用程序的用户特权和内容的工具。
缓冲区溢出 (buffer overflow)
通过覆盖部分内存来修改应用程序流的利用技术。缓冲区溢出是软件故障的常见原因。

C

CA
请参阅认证中心 (certificate authority)
证书 (certificate)
在计算机安全性中,是指一种数字文档,用于将公用密钥绑定到证书所有者身份,从而允许对证书所有者进行认证。证书由认证中心发放并由该认证中心进行数字签名。另请参阅认证中心 (certificate authority)
认证中心 (certificate authority, CA)
发放数字证书的可信第三方组织或公司。认证中心通常会验证被授予唯一证书的个人身份。另请参阅证书安全套接字层
证书撤销列表 (certificate revocation list, CRL)
在安排的到期日期之前已撤销的证书列表。证书撤销列表由认证中心进行维护,并在安全套接字层 (SSL) 握手过程中用于确保所涉及的证书尚未撤销。
合规性 (compliance)
符合目标计算机上已确立的软件和安全规范的状态,或达到此状态的过程。
配置文件 (configuration file)
指定程序、系统设备、系统或网络的特征的一种文件。
内容电子欺骗 (content spoofing)
用于诱骗用户相信 Web 站点上出现的某些内容是合法、且不是来自外部源的内容的一种攻击方法。
上下文
有关在扫描过程中捕获的问题的信息。
cookie
服务器存储在客户机上并在后续会话过程中访问的信息。通过 Cookie,服务器可以检索有关客户机的特定信息。
cookie 标识 (cookie ID)
请参阅 cookie 标识
cookie 标识 (cookie identifier, cookie ID)
指定给扫描过程中所发现 cookie 的唯一标识。
cookie 篡改 (cookie poisoning)
用于进行身份偷窃或会话劫持的一种技术。通过操控存储在浏览器 cookie 中的信息,黑客会假冒用户的身份并可访问该用户的信息以用于恶意用途。
凭证预测 (credential prediction)
通过猜测用于识别特定会话或用户的唯一值来劫持或假冒 Web 站点用户的一种方法。
CRL
请参阅证书撤销列表 (certificate revocation list)
跨站点脚本编制(cross-site scripting, XSS)
一种强制 Web 站点回传客户机提供的数据的攻击方法,这些数据在用户的 Web 浏览器中执行。
定制错误页面 (custom error page)
大多数 Web 服务器软件的一项功能,该功能使用户能够将缺省错误消息替换为针对应用程序定制设计的消息。

D

仪表板
将来自各种来源的数据集成并提供相关信息与上下文中信息统一显示的界面。
数据加密标准 (Data Encryption Standard, DES)
为使用专用密钥加密和解密数据而设计的一种密码算法。
拒绝服务攻击 (denial-of-service attack, DoS)
在计算机安全中,对网络的攻击会破坏网络上的一台或多台主机,致使主机无法正确执行其功能。网络服务会中断一段时间。
拒绝的 cookie (denied cookie)
其信息不可用于存储并将传回给指定域的 cookie。
depth
用户或自动搜寻器从源页面来到目标页面所需单击的次数。
DES
请参阅数据加密标准
数字签名 (digital signature)
通过专用密钥加密并会附加到消息或对象,以向接收方保证消息或对象的真实性与完整性的信息。数字签名证明消息或对象已由拥有或可访问专用密钥或共享密钥对称密钥的实体进行了签名。
目录索引 (directory indexing)
用于在没有索引页面的情况下显示目录内容的一项 Web 服务器功能。
DNS
请参阅域名系统 (Domain Name System)
文档类型声明 (document type declaration)
包含正式的文档类型定义规范的标记声明。
因特网中命名层次结构的一部分,其中的域名由一系列句点(点)分隔的名称(标签)组成。
域名
因特网通信中的主机系统名称。域名由一系列定界字符分隔的子名称组成,例如 www.hcl.com。另请参阅域名系统
域名系统 (DNS)
将域名映射到 IP 地址的分布式数据库系统。另请参阅域名
DoS
请参阅拒绝服务攻击
降级的 cookie (downgraded cookie)
其状态已更改为会话 cookie 的持久 cookie。

E

编码攻击 (encoding attack)
通过更改用户所提供数据的格式,以绕过检查健全状态的过滤器,从而为攻击提供帮助的利用方法。
加密
在计算机安全中,将数据变换为无法辨认的形式的过程,这样原始数据便无法被获取或者只能通过解密过程获取。
实体扩展攻击 (entity expansion attack)
导致应用程序服务器回传用户数据的一种 XML 级别的拒绝服务攻击类型。
导出 (export)
将当前文档、数据库或图像的副本保存为另一应用程序所需的文件格式。
暴露 (exposure)
使用授权方法或未经授权的方法可对信息进行访问的程度。
外部域 (external domain)
具有不同 URL 的域,从所扫描站点的起始 URL 开始,向上直至第一个反斜杠。

F

漏报 (false positive)
分类为肯定的测试结果(表明站点易受到攻击),但用户认定其实际为否定(并非漏洞)。
文件
按指定名称存储和检索的相关数据集合。
修订建议 (fix recommendation)
关于修订 Web 应用程序以针对已发现的问题加以防护的特定技术详细信息。
已修复状态 (fixed status)
表示问题已得到解决的状态。
文件夹角色 (folder role)
应用于文件夹内所有作业、报告包和仪表板的许可权集。另请参阅用户类型
强制浏览 (forceful browsing)
请参阅可预测资源位置
格式字符串攻击 (format string attack)
通过使用字符串格式化库功能访问其他内存空间来修改应用程序流的一种攻击。当用户提供的数据直接用作 fprintf、printf、sprintf 等特定 C/C++ 功能的格式化字符串输入时,便会出现漏洞。

G

GET
在 HTTP 中,<FORM> 标记的 METHOD 属性的一个参数,用于指定向服务器发送表单数据时浏览器会将表单数据附加到 URL 末尾。

H

黑客 (hacker)
尝试访问系统上受保护资源的未授权的个人。另请参阅攻击者
危险字符 (hazardous character)
用于执行 Web 应用程序攻击(如 XSS 或 SQL 注入)的字符。
隐藏的参数 (hidden parameter)
未呈现在 Web 页面中的 HTML 表单参数。
隐藏字段 (hidden field)
显示文件中传递到程序或从程序传递但不会发送显示的字段。
主机 (host)
连接到网络并提供此网络访问点的计算机。主机可以是客户机、服务器或同时为客户机和服务器。另请参阅服务器
主机名
在因特网通信中指定给计算机的名称。主机名可能是诸如 mycomputer.city.company.com 之类的标准域名,或者可能是诸如 mycomputer 之类的特定子名称。

I

信息泄露 (information leakage)
泄露 Web 站点中的敏感数据,这可能会帮助攻击者对应用程序加以利用。
注入缺陷 (injection flaw)
使攻击者能够通过 Web 应用程序将恶意代码中继到外部系统的一项缺陷。
不安全的存储 (insecure storage)
存储在尚未使用密码功能保护的客户机硬盘驱动器上的信息和凭证。
会话中检测 (in-session detection)
AppScan 所接收响应中对于会话中模式的检测,以验证 AppScan 是否仍处于登录状态。
会话中模式 (in-session pattern)
登录页面中识别的模式(例如注销链接),可由 AppScan 用于验证自己是否仍处于登录状态。
不充分反自动化 (insufficient anti-automation)
当 Web 站点准许攻击者将应当仅手动执行的过程自动化时产生的结果。
不充分认证 (insufficient authentication)
当 Web 站点在未适当认证攻击者的访问许可权便准许攻击者访问敏感数据或功能(如基于 Web 的管理工具)时出现的漏洞。
不充分授权 (insufficient authorization)
当 Web 站点准许访问应当需要访问控制限制的敏感内容或功能时出现的漏洞。
不充分过程验证 (insufficient process validation)
当 Web 站点允许攻击者绕过应用程序的计划步骤序列时出现的漏洞。
不充分会话到期 (insufficient session expiration)
当 Web 站点允许攻击者复用旧会话标识进行授权时出现的漏洞。
内部域 (internal domain)
包含在内容扫描中并在起始 URL 列表中出现的域。
侵入式测试 (invasive test)
如果在应用程序上运行可能会引起拒绝服务状态的可选测试。
问题 (issue)
Web 应用程序易受其攻击的安全风险,或者可能是未经授权的用户可视的敏感信息。
问题标识 (issue ID)
请参阅 问题标识
问题标识 (issue identifier, issue ID)
指定给在内容扫描过程中发现的每个问题实例的编号。

J

作业所有者 (job owner)
负责作业整体完成的人员或组。

K

键 (key)
用于对消息进行数字签名、验证、加密或解密的密码数值。
密钥交换协议 (key exchange protocol)
控制双方如何交换密钥以用于保护事务的一种协议。交换密钥后,即可在发送方一端将数据加密并在接收方一端将数据解密。
密钥长度 (key length)
组成密钥并确定密钥强大程度的数据大小的度量方式。较长的密钥(如 128 位)被认为会比较短的密钥(48 位)更难以解密。

L

LDAP
请参阅轻量级目录访问协议
LDAP 注入
请参阅轻量级目录访问协议注入
受限 cookie (leashed cookie)
将在第一方上下文中接受并在第三方上下文中阻止的 cookie。
LDAP(轻型目录访问协议)
一种开放式协议,使用 TCP/IP 提供对支持 X.500 模型的目录进行访问,并且不会引发更复杂的 X.500 目录访问协议 (DAP) 的资源要求。例如,LDAP 可以用于定位因特网或内部网目录中的人员、组织和其他资源。另请参阅轻量级目录访问协议注入
轻量级目录访问协议注入 (Lightweight Directory Access Protocol injection, LDAP injection)
用于对通过用户提供的输入来构造 LDAP 语句的 Web 站点加以利用的攻击方法。另请参阅轻量级目录访问协议
链接
超文本中作者定义的两个信息节点之间的关联。
登录序列 (login sequence)
自动或手动记录的 URL 和用户输入序列,该序列允许 AppScan 登录到 Web 应用程序中。
longdesc
请参阅详细描述
详细描述 (long description, longdesc)
在图像元素、帧元素或 iframe 元素内使用的一项 HTML 属性。它关联了图像描述和用于在 Web 页面中放置图像的代码。另请参阅备用文本

M

操纵 (manipulation)
攻击者基于一个或多个属性,对数据元素、元素组、操作或操作组所做的修改。例如,通过移除必须的参数或不按顺序执行步骤来修改输入。
手动探索 (manual explore)
手动对 Web 应用程序中进行搜寻以访问和测试依赖于实际用户输入的站点部分的这一过程。
MIME 类型
用于识别在因特网中所传输对象的类型的一种因特网标准。
多阶段扫描 (multiphase scan)
包含两个或更多阶段的扫描。另请参阅阶段

N

导航轨迹 (navigation trail)
显示当前页面路径的对象。
无关状态 (noise status)
表示问题无关并且不应再被视为问题的状态。无关状态可以指示误报。

O

操作系统命令 (operating system commanding, OS commanding)
用于通过操纵应用程序输入来执行操作系统命令,从而对 Web 站点加以利用的一种方法。
OS 命令 (OS commanding)
请参阅操作系统命令

P

P3P
请参阅隐私首选项平台
P3P 压缩策略 (P3P compact policy)
用于将 Web 页面的隐私策略传达到浏览器的三字母或四字母代码列表。代码指示 cookie 所收集的信息类型以及信息分发的对象。另请参阅隐私首选项平台
参数篡改 (parameter tampering)
用于更改站点 URL 参数中的信息的一种攻击方法。黑客会利用参数篡改进行欺诈。
解析 (parse)
用来将一系列信息(如命令或文件)分解为若干组成部分。
路径
URL 中指向因特网资源位置的部分。
路径过滤 (path filtering)
根据设置条件滤除或包含页面的过程。
路径遍历 (path traversal)
通过修改 URL 中请求的文档或资源位置从而强制访问驻留在 Web 文档根目录外的文件、目录和命令来进行攻击的一种方法。
渗透测试 (penetration test)
一种通过模拟黑客攻击来评估 Web 应用程序安全性的方法。
许可权 (permission)
执行活动(如读取和撰写本地文件、创建网络连接和装入本机代码)的权限。
持久 cookie (persistent cookie)
存储在用户计算机上直到过期或直到用户将其删除为止的一种 cookie。持久 cookie 用于收集有关用户的识别信息,如特定 Web 站点的 Web 冲浪行为或用户首选项。
阶段 (phase)
包括探索阶段(后跟扫描测试阶段)的过程。另请参阅多阶段扫描
阶段限制 (phase limit)
扫描允许的阶段数量最大值。此限制可配置。
PKI
请参阅公共密钥基础结构
隐私首选项平台 (Platform for Privacy Preferences, P3P)
万维网联盟 (W3C) 规范,Web 站点通过它可以标准格式定义其隐私规程。有关更多信息,请访问 P3P 项目 Web 站点 (http://www.w3.org/P3P/)。另请参阅 P3P 压缩策略
端口
用于在应用程序之间进行通信的端点,一般是指逻辑连接。端口提供队列用于发送和接收数据。各端口有一个端口号用于标识。
POST
在 HTTP 中,“表单”标记的 METHOD 属性的一个参数,用于指定浏览器将在独立于关联 URL 的 HTTP 事务中,向服务器发送表单数据。
可预测的资源位置
用于显示所隐藏 Web 站点内容和功能的攻击方法。攻击会搜索标准位置中不是旨在供公共查看的内容,如临时文件、备份文件、配置文件或示例文件。
隐私标志 (privacy seal)
徽标,用于指示在其 Web 站点上显示该徽标的组织符合针对在线隐私规程的特定行业标准。
专用密钥 (private key)
在计算机安全中,密钥对密钥的另一半,与公用密钥算法一起使用。专用密钥只有其所有者才知道。专用密钥通常用于对数据进行数字签名,以及解密已通过对应公用密钥加密的数据。另请参阅公用密钥
公用密钥 (public key)
密钥对非密钥的另一半,与公用密钥算法一起使用。公用密钥可供每个人使用。公用密钥通常用于验证数字签名,以及加密数据,并且加密后只能使用对应的专用密钥进行解密。另请参阅专用密钥公共密钥基础结构
公共密钥基础结构 (public key infrastructure, PKI)
一个有数字证书、认证中心和其他注册机构的系统,负责验证和认证网络事务中所涉及各方的有效性。另请参阅公用密钥

R

冗余路径限制 (redundant path limit)
扫描中扫描同一路径的次数的最大值,目的是减少扫描时间和消除重复结果。
regex
请参阅正则表达式
正则表达式 (regular expression, regex)
在搜索模式中定义字符串或字符串组的一组字符、元字符和运算符。
相对路径 (relative path)
以当前工作目录开头的路径。
修复 (remediation)
有关如何修订问题的建议。
风险分析 (risk analysis)
对在 Web 应用程序中所发现安全性问题的分析。另请参阅风险评估
风险评估 (risk assessment)
对某个操作或方案的优势和结果进行的评估。另请参阅风险分析
风险管理 (risk management)
对资源进行最佳分配,以达到对组织中防御措施的具有成本效益的投资。
强大 (robust)
属于有效处理异常条件(如输入异常)的系统。
根权限 (root authority)
证书签名路径的端点。

S

扫描
AppScan 探索和测试应用程序并提供结果的过程。
扫描程序
在 Web 应用程序中搜索软件漏洞的自动化安全程序。
扫描调度 (scan schedule)
自动运行扫描的时间和频率。
扫描模板 (scan template)
可装入以用于扫描的扫描配置。
安全套接字层 (Secure Sockets Layer, SSL)
可提供通信隐私的安全协议。使用 SSL,客户机/服务器应用程序可使用避免窃听、篡改和伪造消息的方式进行通信。另请参阅认证中心 (certificate authority)
安全审计 (security audit)
系统或应用程序的手动或系统化可测量技术评估。
安全风险 (security risk)
威胁的潜在成功机会和可能继而发生的损害。
服务器
向其他软件程序或其他计算机提供服务的软件程序或计算机。另请参阅主机
服务器组 (server group)
可以作为一个单位进行测试的一组项目,通常是应用程序。
服务器端应用程序技术 (server-side application technology)
针对会产生动态 Web 内容的 Web 服务器启用的技术。
服务器端包含 (server-side include, SSI)
用于在发送至客户机的文档中包含如当前日期、文件的上次修改日期以及其他文件的大小或上次修改时间等动态信息的一项功能。另请参阅服务器端包含注入
服务器端包含注入 (server-side include injection, SSI injection)
利用 Web 应用程序的故障,在将用户提供的数据插入到 HTML 文件之前对其进行清理的攻击方法。这可能会使攻击者可借此执行任意操作系统命令,或者在下次维护页面时包含受限制的文件内容。另请参阅服务器端包含
会话 cookie (session cookie)
通过不会对用户进行个人识别的会话标识形式存储信息的一种 cookie。它存储在临时内存中,并且在关闭浏览器后不会保留。
会话凭证 (session credential)
由 Web 服务器提供的一串数据,存储在 Cookie 或 URL 中,用于识别用户和授予用户执行各种操作的权限。
会话定置 (session fixation)
允许攻击者定置用户会话标识并采用其在线身份的一种攻击方法。
会话标识 (session ID)
请参阅会话标识
会话标识 (session identifier, session ID)
Web 服务器提供的唯一数据字符串,在网络通信中用来标识会话,并存储在 Cookie 或 URL 中。
会话令牌 (session token)
由浏览器作为参数或 Cookie 发送,以便在用户及其在 Web 应用程序上的当前会话之间进行关联的标识。
严重性等级 (severity rating)
扫描对问题指定的级别,表示其所代表的安全风险。
SQL
请参阅结构化查询语言
SQL 注入 (SQL injection)
请参阅结构化查询语言注入
SSI
另请参阅服务器端包含
SSI 注入 (SSI injection)
请参阅服务器端包含注入
SSL
请参阅安全套接字层 (Secure Sockets Layer)
隐蔽命令 (stealth commanding)
通过特洛伊木马隐藏危险的命令,意图运行会破坏站点的恶意代码或未授权代码的一种攻击方法。
结构化查询语言 (SQL)
用于定义和操作关系数据库中数据的标准化语言。另请参阅结构化查询语言注入
结构化查询语言注入 (Structured Query Language injection, SQL injection)
用于通过操纵应用程序输入修改后端 SQL 语句,从而对 Web 站点加以利用的攻击方法。另请参阅结构化查询语言
样式表 (style sheet)
请参阅样式表
对称密钥密码术 (symmetric key cryptography)
一种密码术系统,在此系统中消息的发送方和接收方共享一个用于加密和解密消息的公共密钥。

T

测试策略 (test policy)
将扫描限制到测试的特定类别和类型的一项策略。
测试阶段
扫描的一个阶段,在此期间被扫描的应用程序的对象和逻辑将提交到综合性密集攻击的典型、错误和模拟恶意使用技术,得出安全漏洞的完整清单。
传输层 (transport layer)
OSI 体系结构中的层,为具有可预测服务质量的开放式系统之间的流量控制和恢复提供服务。

U

UNC
请参阅通用命名约定
统一资源定位符 (Uniform Resource Locator, URL)
在诸如互联网之类的网络中,可访问的信息资源的唯一地址。URL 包括用于访问信息资源的协议的缩写名称和此协议用于定位信息资源的信息。
通用命名约定 (Universal Naming Convention, UNC)
组合的服务器名称和网络名。这些名称一起识别域中的资源。
URL
请参阅统一资源定位符
用户类型
对特定用户的能力及其在文件夹中承担的角色的描述。用户类型包括“标准用户”、“管理员”和“无访问权”。另请参阅文件夹角色

W

WCTP
请参阅无线通信传输协议
弱密码恢复验证 (weak password recovery validation)
当 Web 站点准许攻击者非法获取或更改其他用户的密码时出现的漏洞。当能够轻松猜测或回避为验证用户身份以进行恢复而必需的信息时,攻击者可阻挠 Web 站点的恢复机制。
Web 服务器
一种能够服务超文本传输协议 (Hypertext Transfer Protocol, HTTP) 请求的软件程序。
无线通信传输协议 (Wireless Communications Transfer Protocol, WCTP)
用于在有线系统和双向功能无线设备中,来回传递字母数字和二进制消息的一种服务类型。

X

XML 路径语言 (XML Path Language, XPath)
设计用于唯一识别或处理部分源 XML 数据,以便与 XSLT、XQuery 和 XML 解析器等 XML 相关技术一起使用的一种语言。XPath 是一种万维网联盟标准。另请参阅 XML 路径语言注入
XML 路径语言注入 (XML Path Language injection, XPath injection)
用于对通过用户提供的输入来构造 XPath 查询的 Web 站点加以利用的一种攻击方法。如果应用程序在查询中嵌套不安全的用户输入,那么攻击者可能会在查询中注入数据,以便用不同于程序员意图的方式对新形成的查询进行解析。另请参阅 XML 路径语言
XML 规则语言 (XRule)
扫描应在 Web 站点中搜索的 XML 文本字符串。
XPath
请参阅 XML 路径语言
XPath 注入 (XPath injection)
请参阅 XML 路径语言注入
XRule
请参阅 XML 规则语言
XSS
请参阅跨站点脚本编制