名詞解釋

本名詞解釋說明 AppScan® Standard 使用者介面和說明文件中所用的術語和字首語。

A

存取控制 (access control)
在電腦安全中,這是指確保使用者只能存取已獲授權之電腦系統資源的程序。
動作型登入 (action-based login)
這種類型的登入重播會重新產生您在記錄登入序列時已執行的動作,通常是偏好的登入方法。
動作型登入播放程式 (action-based login player)
這是含有兩個窗格的瀏覽器,可重播動作型登入,作為驗證和疑難排解用途。左窗格顯示動作清單,並強調顯示目前正在執行的動作;右窗格顯示現行動作的結果。
諮詢 (advisory)
這是一份文件,含有關於威脅或漏洞的資訊及分析。
應用程式生命週期 (application lifecycle)
這是指從開發到正式作業,產品所經歷的一系列階段。
應用程式伺服器 (application server)
這是一種在分散式網路中,提供應用程式執行環境的伺服器程式。
應用程式測試 (application test)
這是一種測試類型,主要著眼於不安全的軟體開發所造成的應用程式邏輯和問題。
應用程式樹狀結構 (application tree)
這是用來顯示 Web 應用程式結構的樹狀視圖,其中包括目錄和檔案。
攻擊 (attack)
這是指未獲授權的人,意圖危害軟體程式或網路系統作業的任何嘗試。另請參閱「攻擊者 (attacker)」。
攻擊者 (attacker)
這是指試圖造成資訊系統傷害或試圖存取不供一般存取之資訊的使用者(人或電腦程式)。另請參閱「駭客 (hacker)」、「攻擊 (attack)」。
鑑別 (authentication)
這是指驗證使用者或伺服器身分的程序。
鑑別測試器 (Authentication Tester)
這是一種類似強制入侵的測試公用程式。這是 PowerTool 之一。它會偵測可用來取得使用者 Web 應用程式存取權的低保護性使用者名稱/密碼組合。
權限 (authorization)
這是授予使用者與電腦系統通訊或使用電腦系統的權限。

B

後端 (back end)
這是一組資料庫管理系統之類的電腦系統支援元件。
黑盒 (black box)
當檢查應用程式輸出時,不參照其內碼,就可稱該應用程式為「黑盒」,稱測試為「黑盒測試」,這是因為應用程式被視為一個看不見其內容的「黑盒」。請對照 "white box"。
中斷的鏈結 (broken link)
這是選取時會傳回無效回應的鏈結。
強制入侵 (brute force)
這是一種由程式來進行的攻擊,該程式會嘗試所有可能的認證來危害系統安全。
緩衝區 (buffer)
這是一個保留的記憶體區段,在處理資料之時,用來存放資料。
緩衝區溢位 (buffer overflow)
這是一種不當運用的技術,它會改寫記憶體的若干部分,從而變更應用程式的流程。緩衝區溢位是軟體運作異常的常見原因。

C

區分大小寫 (case-sensitive)
這是有關區分大小寫字母的能力。
CGI
請參閱一般閘道介面
字元編碼 (character encoding)
這是一組由代碼組成的字集,代碼使一系列給定字集的字元,與其他諸如一系列自然數、八位元組或電子脈衝之類形成配對。編碼可使文字便於透過電信網路來儲存和傳輸。
子節點 (child node)
這是指在另一節點範圍內的節點。
client
這是指連接網路的使用者工作站。另請參閱主機
用戶端 (client-side)
這是有關在用戶端應用程式上,而非在伺服器上執行的作業。
程式碼注入 (code injection)
這是將新程式碼引進應用程式的技術。攻擊者可以利用程式碼注入,將程式碼引進電腦程式中,以變更執行的進程。
一般閘道介面 (Common Gateway Interface, CGI)
這是一種網際網路標準,用來定義 Script 以透過 HTTP 要求,將資訊從 Web 伺服器傳遞至應用程式,以及從應用程式傳遞至 Web 伺服器。
通訊逾時 (communication timeout)
這是指在等待指定的時間量之後,按計劃結束未完成的作業。
並行登入 (concurrent login)
這是指與其他登入同時發生的登入。
條件型樣 (condition pattern)
這是指在正規表示式中,正規表示式所定義的型樣。正規表示式可用來尋找符合型樣的項目。
Cookie
這是伺服器儲存在用戶端機器上,且會在後續階段作業期間存取的資訊。Cookie 可讓伺服器擷取用戶端的特定相關資訊。
搜索 (crawl)
這是指在網際網路或企業內部網路上的各種網頁之間搜尋資訊。
跨網站 Scripting (cross-site scripting, XSS)
這是一種在使用者 Web 瀏覽器中執行的攻擊技術,會強迫網站回應用戶端所提供的資料。
自訂錯誤頁面 (custom error page)
這是大部分 Web 伺服器軟體都有的一項特性,可讓使用者將預設錯誤訊息取代成專為了應用程式而設計的自訂訊息。
CVE
常見漏洞及曝光 (Common Vulnerabilities and Exposures)。這是一份業界標準清單,提供常見的資訊安全漏洞及曝光的一般名稱。
CVSS
常見漏洞評分系統 (Common Vulnerability Scoring System)。這是一種開放式架構,用來針對與漏洞相關聯的風險進行評分。
CWE
常見弱點列舉 (Common Weakness Enumeration)。這是一份業界標準清單,提供常見軟體弱點的一般名稱。

D

資料庫管理系統 (database management system, DBMS)
這是一種軟體系統,用來控制資料庫的建立、組織和修改,以及控制其中所儲存之資料的存取。
資料庫服務 (database service)
這是可供儲存和擷取資料庫中之資料的服務。
DBMS
請參閱資料庫管理系統
除錯指令 (debug command)
這是在軟體開發程序期間,協助識別程式設計錯誤的特性或指令。
差異 (delta)
這是指兩個實例之間的差異或增量值。
阻斷服務攻擊 (denial-of-service attack, DoS)
這是指電腦安全中的一種網路攻擊,它會癱瘓網路上的一或多部主機,使主機無法正常執行它的功能。網路服務會中斷一段時間。
深度 (depth)
這是指使用者或自動搜索器,從來源頁面到目標頁面需要經歷的點按次數。
目錄檢索 (directory indexing)
這是在沒有索引頁面時,可供顯現目錄內容的 Web 伺服器特性。
目錄遍訪 (directory traversal)
這是藉由存取文件根目錄之外的檔案和指令,從而不當運用網站的技術。
網域 (domain)
這是一個用戶端和伺服器子網路,在單一安全資料庫的控制之下。
DoS
請參閱阻斷服務攻擊
傾出檔 (dump file)
這是不含任何報告格式的記憶體內容。

E

內嵌瀏覽器 (embedded browser)
這是內嵌在 AppScan 中的 Web 瀏覽器,開啟方式為特殊工具列,以便使用掃描。
編碼攻擊 (encoding attack)
這是一種不當運用的技術,藉由變更使用者所提供資料的格式來略過例行性檢查過濾器,從而協助進行攻擊。
加密 (encryption)
這是一種將資料轉換成無法理解形式的程序,藉此方式使得原始資料無法取得,或只能透過解密程序來取得。
排除項目 (exclusion)
這是指在測試期間,將其值排除在外的參數或程序。
執行檔 (executable)
這是指已備妥,可在特定環境中執行的程式檔案。
探索設定 (Explore setting)
這是一項配置參數來控管 AppScan 如何探索應用程式的設定。
「探索」階段
這是指在測試之前,識別應用程式邏輯和物件的 AppScan 掃描階段。
匯出
這是指將一份現行文件、資料庫或影像,儲存成不同的應用程式所需要的檔案格式。
延伸支援模式 (extended support mode)
這個模式可讓使用者記錄用法選項和行為,以及將資料儲存在檔案中,以便傳給技術支援中心。

F

誤判 (false positive)
這是一種被系統歸類為有侵害攻擊(表示網站容易遭到攻擊),但使用者認為事實上無侵害攻擊(非漏洞)的測試結果。
修正建議 (fix recommendation)
這是指修正 Web 應用程式,保護它使它不會發生所發現問題的特定技術詳細資料。
Flash
這是一種在 Web 瀏覽器中,可讓影片及動畫流暢顯示的程式設計技術。
表單內容 (form property)
這是指自動填寫表單時所用的值。
完整路徑名稱 (full path name)
這是指以根目錄開頭的目錄和檔案字串形式來表示的任何目錄或檔案的名稱。

G

圖形使用者介面 (graphical user interface, GUI)
這是一種將高解析度圖形、指標裝置、功能表列與其他功能表、重疊的視窗、圖示及物件動作關係組合起來,以視覺模擬來呈現真實世界場景(通常為桌面)的電腦介面類型。
GUI
請參閱圖形使用者介面

H

寫在程式中 (hard-coding)
這是指將輸出或配置資料,直接內嵌在程式或其他可執行物件之原始碼內的軟體開發實務。
危險字元 (hazardous character)
這是指用來執行 XSS 或 SQL 注入之類 Web 應用程式攻擊的字元。
隱藏參數 (hidden parameter)
這是指並不呈現在網頁上的 HTML 表單參數。
主機 (host)
這是一部連接至網路,且提供了指向這個網路之存取點的電腦。主機可以是用戶端或伺服器,或同時為用戶端與伺服器。另請參閱用戶端
HTML 表單元素 (HTML form element)
這是可讓使用者在表單中輸入資訊的元素,如文字欄位、文字區欄位、下拉功能表、圓鈕或勾選框。
HTTP 要求 (HTTP request)
這是在掃描的「探索」或「測試」階段期間傳給網站的要求。
HTTP 回應 (HTTP response)
這是伺服器傳送的回應。

I

ID
請參閱識別碼
識別碼 (identifier, ID)
這是一或多個用來識別或命名資料元素的字元,也有可能是用來指出這個資料元素的特定內容。
匯入 (import)
這是指讀取不是使用中的應用程式之原生格式的檔案。
業界標準報告 (Industry Standards report)
這是根據所選的業界標準,在使用者 Web 應用程式上找到的問題及其他資訊的報告。AppScan 「業界標準」報告包括 SANS Top 20、OWASP Top 10 和「WASC 威脅分類」。
階段作業內偵測 (in-session detection)
這是指 AppScan 收到的回應中的階段作業內型樣偵測,用來確認它仍在登入狀態。
階段作業內型樣 (in-session pattern)
這是在登入頁面中識別出的型樣,例如登出鏈結,供 AppScan 用來確認它仍在登入狀態。
反自動化不足 (insufficient anti-automation)
這是指僅應手動執行的程序,網站允許攻擊者以自動化方式來執行,所造成的結果。
互動式 URL (interactive URL)
這是包含有待使用者手動填寫之表單的 URL。
侵入性測試 (invasive test)
這是一種選用性測試,若在應用程式上執行,可能造成阻斷服務的狀況。
問題 (issue)
這是指 Web 應用程式容易遭到攻擊的安全風險,或可能是指未獲授權的使用者能夠看到機密性資訊。

J

Java™ Applet
這是指用 Java 撰寫的 Applet,您可以利用 Java 虛擬機器 (JVM),在 Web 瀏覽器中執行此 Applet。
Java 虛擬機器 (JVM)
這是指執行已編譯 Java 程式碼(Applet 和應用程式)之處理器的軟體實作。

L

鏈結擷取 (link extraction)
這是指剖析或執行程式碼來探索和收集 Web 應用程式中的鏈結。
登入序列 (login sequence)
使用者輸入序列,可讓 AppScan 登入 Web 應用程式來進行掃描。建議手動記錄登入。在掃描期間,每當 AppScan 需要登入時,就會重播此序列。當您記錄登入序列時,AppScan 會分析動作和要求。在重播登入時,AppScan 會嘗試(依預設)重新執行動作型登入;如果不成功,則會回復為要求型登入

M

惡意軟體 (malware)
惡意的軟體或執行碼,通常會以看似無害的檔案形式,而讓人下載或接收。
操作 (manipulation)
這是指攻擊者基於一或多個內容,對於資料元素、元素群組、動作或動作群組的修改。例如,移除所需要的引數或不按順序執行步驟,而導致修改輸入。
手動探索
這是一個手動搜索 Web 應用程式的程序,以便存取及測試網站相依於實際使用者輸入的部分。
meta 字元 (metacharacter)
這是指在型樣處理期間,有特殊意義的 ASCII 字元。這類字元用來呈現在處理期間,所能比對的單位元組或多位元組字元型樣。
多組件要求
包含多個內容類型的要求。為了減少不必要的記憶體耗用,掃描期間會自動從多組件要求中過濾掉某些內容類型。您可以在配置 > 進階配置 > 多組件內容類型過濾器中,配置不會過濾哪些類型。
多回合掃描 (multiphase scan)
這是指由兩個以上的回合所構成的掃描。
多步驟作業 (multi-step operation)
這是兩個以上的一連串要求,必須依持定順序傳送,才能存取應用程式的特定部分。(例如:將項目新增至購物車 > 輸入付款明細 > 接收訂單確認。)在掃描配置中記錄這些多步驟作業,可確保會掃描到這些網站部分。

N

網路服務 (network service)
這是指在網路中傳輸資料或提供資料轉換的服務。
NTLM
請參閱 Windows NT®LAN 管理程式
數值溢位 (numeric overflow)
這是指算術計算超出指定保留空間的結果。

P

母節點 (parent node)
這是包含現行節點的節點。
剖析 (parse)
這是指將指令或檔案之類資訊的字串,分解成構成組件。
路徑 (path)
這是 URL 中指向網際網路資源位置的部分。
路徑過濾 (path filtering)
這是根據集合準則來濾除或併入頁面的程序。
路徑遍訪 (path traversal)
這是一種攻擊技術,它會變更 URL 中所要求的文件或資源位置,強迫存取在 Web 文件根目錄之外的檔案、目錄和指令。
型樣 (pattern)
這是利用一或多個正規表示式來說明要識別之文字的方法。
PCI
請參閱週邊元件交互連接
滲透測試 (penetration test)
這是一種模擬駭客攻擊來評估 Web 應用程式安全的方法。
週邊元件交互連接 (Peripheral Component Interconnect, PCI)
這是在處理器和連接的裝置之間,提供高速資料路徑的本端匯流排。
許可權 (permission)
這是指執行各種活動的權限,例如,讀取和寫入本端檔案、建立網路連線,以及載入原生程式碼。
個人身分確認碼 (personal identification number, PIN)
這是指在「加密支援」中,組織指派給個人,用來作為身分證明的唯一號碼。PIN 通常是由金融機構指派給它們的客戶。
回合 (phase)
這是包含掃描中「探索」階段後面接著「測試」階段的一段程序。
回合限制 (phase limit)
這是指掃描接受的回合數目上限。這個限制是可配置的。
釘選
個人識別號碼 (Personal Identification Number)。
platform
這是指作業系統和硬體的組合,這個組合形成執行程式的作業環境。
這是指應用程式之間通訊的端點,通常是指邏輯連線。埠提供用來傳送和接收資料的佇列。每個埠都有一個用來識別的埠號。
埠接聽器 (port listener)
這是指可讓產品接聽出埠連線來驗證特定測試的機制。
可預測的資源位置
這是一種攻擊技術,可用來揭露隱藏的網站內容和功能。這項攻擊會搜尋在標準位置上不想被公開檢視的內容,例如,暫存檔、備份檔、配置檔或範例檔。
專用權升級 (privilege escalation)
這是指參照利用不同使用者專用權來執行的掃描,以便測試存取權不足的使用者是否能夠存取特許資源的程序。
提示
這是一個要求資訊或使用者動作的訊息或顯示符號。使用者必須回應,程式才能繼續。
Proxy
這是在各網路之間,Telnet 或 FTP 之類特定網路應用程式的應用程式閘道,例如,在防火牆 Proxy 上,Telnet 伺服器會執行使用者鑑別,然後讓資料流量流過 Proxy,彷彿它並不存在。功能是在防火牆執行,而不是在用戶端工作站執行,因此,防火牆的負荷會比較大。

R

冗餘路徑限制 (redundant path limit)
這是指在掃描中能夠掃描相同路徑的次數上限,以便縮短掃描時間及消除重複結果。
正規表示式 (regular expression)
這是一組用來定義搜尋型樣中之字串或字串群組的字元、meta 字元及運算子。
法規相符性報告 (regulatory compliance report)
這是在 Web 應用程式上找到,不符合所選法規或法律標準之問題的報告。法規包括加拿大、歐盟、日本、英國、美國的法令、法案及法律,以及 MasterCard 和 Visa 的法規。您也可以建立自訂合規性報告範本。
相對路徑 (relative path)
這是指開始於現行工作目錄的路徑。
補救 (remediation)
這是指如何修正問題的建議。
要求型登入 (request-based login)
這種類型的登入重播會重新產生您在記錄序列時已傳送的要求。
限制 (restriction)
這是指將掃描僅限於所列出之 URL 的過濾器類型。
Result Expert
這是一個在掃描之後執行的選用功能,用來將 CVSS 設定、擷取畫面及其他資訊新增到掃描結果的「問題資訊」標籤中。
反向工程 (reverse engineer)
這是指分析裝置或系統,以便瞭解它的設計、建構和作業的詳細資料。
風險分析 (risk analysis)
這是在 Web 應用程式中所找到的安全問題分析。
風險評量 (risk assessment)
這是指評估某個動作或實務的好處及結果。
風險管理 (risk management)
這是指資源的最佳配置,以便在組織內的防禦措施中,達到投資的成本效益。
角色 (role)
這是指一組許可權。

S

消毒 (sanitize)
在 Web 應用程式安全中,這是指在採用使用者輸入之前,事先清除其中的有害或危險字元。
掃描 (scan)
這是指 AppScan 探索及測試應用程式並提供結果的程序。
掃描配置 (scan configuration)
這是 AppScan 用來定義使用者應用程式/服務、環境及所選掃描方法的設定集合。
Scan Expert
這是一個選用的功能,它會探索應用程式和網路行為,並提供配置變更建議,以便將掃描最佳化。
Scan Expert 分析模組 (Scan Expert analysis module)
Scan Expert 在其分析期間所完成的單一檢查。
Scan Expert 評估 (Scan Expert evaluation)
Scan Expert 對於使用者配置的評估。
掃描範本 (scan template)
這是一個可載入來用於掃描的掃描配置。
排程器 (scheduler)
這是一個多執行緒、多程序的背景伺服器,依據簡單的計時架構,設計來處理工作的排程與啟動。
安全審核 (security audit)
這是利用可測量技術對系統或應用程式進行手動或系統化的評量。
安全風險 (security risk)
這是指威脅可能得逞,因而引發損害。
序列 (sequence)
已記錄的 URL 清單。
階段作業
這是在網路上兩個工作站、軟體程式或裝置之間的邏輯或虛擬連線,可讓兩個元素互相通訊及交換資料。另請參閱交易
階段作業認證 (session credential)
這是一個 Web 伺服器所提供的資料字串,儲存在 Cookie 或 URL 內,用來識別使用者及授權這位使用者執行各種動作。
階段作業固定 (session fixation)
這是一種攻擊技術,可讓攻擊者固定使用者的階段作業 ID,並假裝成他們的線上身分。
階段作業強制存取 (session hi-jacking)
這是一種攻擊者對於使用者階段作業的危害。攻擊者可能會重複使用這個竊取的階段作業,來假冒使用者。
階段作業 ID (session ID)
請參閱「階段作業 ID (session identifier, session ID)」
階段作業 ID (session identifier, session ID)
這是一種攻擊者對於使用者階段作業的危害。攻擊者可能會重複使用這個竊取的階段作業,來假冒使用者。
階段作業記號 (session token)
這是由瀏覽器視為參數或 Cookie 所送出的 ID,用來讓使用者與 Web 應用程式上之現行階段作業之間產生關聯。另請參閱階段作業 ID暫時性記號
嚴重性等級 (severity rating)
這是掃描指派給問題的層次,用來表示該問題代表的安全風險。
Shell
這是在使用者和作業系統之間的軟體介面。Shell 通常是以下兩個種類之一:指令行 Shell,提供作業系統的指令行介面;圖形 Shell,提供圖形使用者介面 (GUI)。
原始碼
這是指以可讓人讀懂的格式寫成的電腦程式。原始碼會轉換成二位元碼,供電腦使用。
盜用 (spoofing)
這是一項偽造技術,偽造傳輸的傳送端位址,以便不合法地進入安全系統。
SQL
請參閱結構化查詢語言
SQL 注入 (SQL injection)
請參閱「結構化查詢語言注入 (Structured Query Language injection)」。
階段 (stage)
這是指在一回合的掃描中,AppScan 探索或測試網站的部分。
無狀態通訊協定 (stateless protocol)
這是不維護指令之間關係的通訊協定。HTTP 便是無狀態通訊協定的範例。
結構化查詢語言 (Structured Query Language, SQL)
這是在關聯式資料庫中,用來定義及操作資料的標準化語言。
結構化查詢語言注入 (Structured Query Language injection, SQL injection)
這是藉由操作應用程式輸入來變更後端 SQL 陳述式,從而不當運用網站的攻擊技術。
語法 (syntax)
指令或陳述式的建構規則。

T

測試修正程式 (test fix)
這是一種提供給特定客戶的暫時修正程式,以便測試對於所報告之問題的回應。
測試原則 (test policy)
這是將掃描限制於特定測試種類與類型的原則。
測試要求 (Test request)
這是指在掃描的「測試」階段期間,傳給應用程式的要求。測試要求是設計來顯示安全漏洞。
「測試」階段
這是將所掃描之應用程式的物件和邏輯,提交到典型、錯誤和模擬惡意使用技術所組成的綜合性密集攻擊,而得到完整安全漏洞詳細目錄的掃描階段。
串 (thread)
這是控制程序的電腦指示串流。在某些作業系統中,執行緒是程序中最小的作業單元。若干執行緒可以同時運作,執行不同的工作。
威脅 (threat)
這是指部署病毒或非法滲透網路之類的安全問題或傷害行動。
威脅類別 (threat class)
這是指依 WASC-TC 種類而集合成類的安全問題群組。每個威脅類別都有許多特定測試;每項測試都有許多變式。
交易 (transaction)
這是指要求(針對某應用程式)及該要求所產生的回應(來自該應用程式)。
暫時性記號 (transient token)
這是一種值會變更的記號(通常是階段作業記號)。傳送過期的暫時性記號可能導致 AppScan 登出測試中的應用程式,所以它必須將暫時性記號保持在最新狀態。另請參閱階段作業記號

C

統一資源定址器 (Uniform Resource Locator, URL)
這是指網路(如網際網路)中所能存取之資訊資源的唯一位址。URL 包括用來存取資訊資源的通訊協定縮寫名稱,以及通訊協定用來尋找資訊資源的資訊。
UNIX®
這是一種高度可攜式的作業系統,能夠在多使用者的環境中進行多重程式運作。開發 UNIX 作業系統,最初是為了在迷你電腦上使用,但又經過改寫來適應大型主機和微電腦。AIX® 作業系統便是 IBM 實作的 UNIX 作業系統。
URL
請參閱統一資源定址器
使用者定義測試 (user-defined test)
這是指在自動建立及執行的測試之外,使用者所建立的測試。

V

驗證
這是用來確認特定測試成功或無法達到目標的程序。
漏洞 (vulnerability)
這是指在作業系統、系統軟體或應用軟體元件中的安全曝光。

W

Web 應用程式
這是 Web 瀏覽器所能存取,且在靜態顯示資訊之外,還能提供某項功能(例如,可讓使用者查詢資料庫)的應用程式。Web 應用程式的一般元件包括 HTML 頁面、JSP 頁面及 Servlet。
Web 瀏覽器 (Web browser)
這是一個用戶端程式,它會起始對 Web 伺服器的要求,並顯示伺服器傳回的資訊。
Web 內容 (Web content)
這是指組成網站的檔案和其他資源。Web 內容可能包含的項目如下:影像檔、音訊檔、HTML 檔、JSP 檔、樣式表、資料庫項目,或您能夠在網站上看到的任何項目。
Web 安全 (Web security)
這是指與全球資訊網、HTTP 及 Web 應用程式軟體相關之資訊安全的理論和實務。
Web 伺服器
這是指能夠為「超文字傳送通訊協定 (HTTP)」要求提供服務的軟體程式。
Web 服務 (Web service)
這是執行特定作業且可透過 HTTP 和 SOAP 之類開放式通訊協定來存取的應用程式。
Web 服務說明語言 (WSDL)
這是一種 XML 型規格,將網路服務描述為一組操作訊息的端點,訊息含有文件導向或程序導向的資訊。
白盒
白盒掃描會分析實際程式碼,例如「靜態分析」中的 JavaScript 程式碼。請對照 "black box"。
Windows NT LAN 管理程式 (NTLM)
這是在各種 Microsoft® 網路通訊協定中,用於鑑別的通訊協定。
WSDL
請參閱「Web 服務說明語言 (Web Services Description Language)」。

X

XSS
請參閱跨網站 Scripting