词汇表

本词汇表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。

A

访问控制 (access control)
在计算机安全性中,用来确保用户仅能访问那些授权访问的计算机系统资源的过程。
基于操作的登录 (action-based login)
此类型的登录回放用于重现对登录序列进行记录时执行的操作,并且通常是首选的登录方法。
基于操作的登录播放器 (action-based login player)
具有两个窗格的浏览器,在其中回放基于操作的登录以进行验证和故障诊断。左边的窗格显示操作的列表并突出显示当前正在执行的操作;右边的窗格显示当前操作的结果。
咨询 (advisory)
包含有关威胁或漏洞的信息与分析的文档。
应用程序生命周期 (application lifecycle)
产品所经过的连续阶段,从开发到生产。
应用程序服务器 (application server)
分布式网络中的一种服务器程序,用于为应用程序提供执行环境。
应用程序测试 (application test)
一种测试类型,关注应用程序逻辑以及由不安全软件开发产生的问题。
应用程序树 (application tree)
对 Web 应用程序结构的树形视图显示,包括目录和文件。
攻击 (attack)
未授权的个人想要破坏软件程序或网络系统的操作而进行的所有尝试。另请参阅攻击者。
攻击者 (attacker)
试图破坏信息系统,或者对并不提供一般访问的信息进行访问的用户(人或计算机程序)。另请参阅黑客、攻击。
认证 (authentication)
验证用户或服务器身份的过程。
Authentication Tester
一种类似于暴力攻击的测试实用程序。PowerTool 之一。它用于检测能够被用来获取对用户 Web 应用程序的访问权的弱用户名-密码组合。
授权 (authorization)
授予用户的一种权限,用来与计算机系统通信或进行利用。

B

后端 (back end)
计算机系统(如数据库管理系统)的一组支持组件。
黑匣 (black box)
如果检查应用程序输出时不会引用到其内部代码,可将应用程序称为“黑匣”;因为应用程序的内容不可见,测试视其为“黑匣”,所以可将测试称为“黑匣测试”。与“白盒”比较。
中断链接 (broken link)
选定时会返回无效响应的链接。
暴力 (brute force)
一种由程序发起的攻击,会尝试利用每种可能的凭证破坏系统的安全性。
缓冲区 (buffer)
内存的保留段,用来保存正在处理的数据。
缓冲区溢出 (buffer overflow)
通过覆盖部分内存来修改应用程序流的利用技术。缓冲区溢出是软件故障的常见原因。

C

区分大小写 (case-sensitive)
与区分大写字母和小写字母有关的能力。
CGI
请参阅公共网关接口
字符编码 (character encoding)
一种由代码组成的字符集,可将给定集合中的字符序列与其他序列配对,如与自然数、八位元或电脉冲的序列配对。编码可通过远程通信网络加强文本的存储和传输。
子节点 (child node)
另一节点作用域中的节点。
客户机 (client)
用户与网络连接的工作站。另请参阅主机
客户机端 (client-side)
与在客户机应用程序而非服务器上执行的操作有关。
代码注入 (code injection)
向应用程序中引进新代码的技术。攻击者可使用代码注入来向计算机程序中引进代码,以更改执行过程。
公共网关接口(Common Gateway Interface, CGI)
用来定义以下类型脚本的因特网标准:这些脚本通过 HTTP 请求将信息从 Web 服务器传递到应用程序,反之亦然。
通信超时 (communication timeout)
等待特定的一段时间后,意图结束一项未完成的任务。
并行登录 (concurrent login)
与其他登录同时发生的登录。
条件模式 (condition pattern)
正则表达式中,由正则表达式定义的模式。正则表达式可用来查找与模式匹配的项。
Cookie
服务器存储在客户机上并在后续会话过程中访问的信息。通过 Cookie,服务器可以检索有关客户机的特定信息。
搜寻 (crawl)
跨因特网或内部网上的各种 Web 页面来搜索信息。在扫描的“探索”阶段,AppScan 会“搜寻”您的站点以映射其结构并为扫描的“测试”阶段准备测试。
跨站点脚本编制(cross-site scripting, XSS)
一种强制 Web 站点回传客户机提供的数据(在用户的 Web 浏览器中执行)的攻击方法。
定制错误页面 (custom error page)
大多数 Web 服务器软件的一项功能,该功能使用户能够将缺省错误消息替换为针对应用程序定制设计的消息。
CVE
常见漏洞。一个行业标准列表,其中列出了众所周知的常见信息安全漏洞。
CVSS
常见漏洞评分系统。一个开放式框架,用于对与漏洞相关联的风险进行评分。AppScan 使用 CVSS V3.1。
CWE
常见缺陷列表。一个行业标准列表,其中列出了众所周知的常见软件缺陷。

D

数据库管理系统(database management system, DBMS)
一种软件系统,可控制数据库的创建、组织和修改以及其中所存储数据的访问权。
数据库服务 (database service)
数据库中可提供数据的存储和检索的服务。
DBMS
请参阅数据库管理系统
调试命令 (debug command)
一种功能或命令,可在软件开发过程中辅助识别程序错误。
增量 (delta)
两个实例之间的差异或递增值。
拒绝服务攻击 (denial-of-service attack, DoS)
在计算机安全中,对网络的攻击会破坏网络上的一台或多台主机,致使主机无法正确执行其功能。网络服务会中断一段时间。
深度 (depth)
用户或自动搜寻器从源页面来到目标页面所需单击的次数。
目录索引 (directory indexing)
用于在没有索引页面的情况下显示目录内容的一项 Web 服务器功能。
目录遍历 (directory traversal)
一种用于通过访问文档根目录之外的文件和命令来对 Web 站点加以利用的方法。
域 (domain)
同一安全数据库控制下的客户机和服务器的子网。
DoS
请参阅拒绝服务攻击
转储文件 (dump file)
不带任何报告格式化的内存内容。

E

嵌入式浏览器 (embedded browser)
嵌入 AppScan® 中的 Web 浏览器,打开时有一个用于进行扫描的特殊工具栏。
编码攻击 (encoding attack)
通过更改用户所提供数据的格式,以绕过检查健全状态的过滤器,从而为攻击提供帮助的利用方法。
加密 (encryption)
将数据变换为无法辨认的形式的过程,这样原始数据便无法被获取或者只能通过解密过程获取。
排除 (exclusion)
测试期间排除其值的参数或过程。
可执行文件 (executable)
可在特定环境中运行的程序文件。
探索设置 (Explore setting)
用来配置参数的一种设置,该参数可管理 AppScan® 如何探索应用程序。
探索阶段 (Explore stage)
扫描的一个阶段,期间应用程序的逻辑和对象可在测试前进行识别。
导出 (export)
用来将当前文档、数据库或图像的副本保存为另一应用程序所需的文件格式。
扩展支持方式 (extended support mode)
可使用户记录用途选项和行为,并保存文件中的数据以将其发送到技术支持的一种方式。

F

漏报 (false positive)
被 AppScan 分类为肯定的测试结果(表明站点易受到攻击),但用户认定其实际为否定(并非漏洞)。
修订建议 (fix recommendation)
关于修订 Web 应用程序以针对已发现的问题加以防护的特定技术详细信息。
Flash
一种使影片和动画能够在 Web 浏览器中无缝显示的编程方法。
表单属性 (form property)
自动填充表单时所使用的值。
完整路径名 (full path name)
任何目录或文件的名称,表现形式为以根目录开头、后接目录和文件的字符串。

G

图形用户界面 (graphical user interface, GUI)
一种计算机界面,通过将高分辨率的图形、定位设备、菜单栏及其他菜单、重叠的窗口、图标和对象操作关系相组合,来对现实世界情景进行可视的呈现(通常采用桌面的方式)。
GUI
请参阅图形用户界面

H

硬编码 (hard-coding)
用来将输出或配置数据直接嵌入到程序或其他可执行文件对象的源代码中的软件开发方法。
危险字符 (hazardous character)
用于执行 Web 应用程序攻击(如 XSS 或 SQL 注入)的字符。
隐藏的参数 (hidden parameter)
未呈现在 Web 页面中的 HTML 表单参数。
主机 (host)
连接到网络并提供此网络访问点的计算机。主机可以是客户机、服务器或同时为客户机和服务器。另请参阅客户机
HTML 表单元素 (HTML form element)
使用户能够输入信息的元素,如表单中的文本字段、文本区域字段、下拉菜单、单选按钮或复选框。
HTTP 请求 (HTTP request)
扫描的探索或测试阶段发送到站点的请求。
HTTP 响应 (HTTP response)
由服务器所发送的响应。

I

标识 (ID)
请参阅标识
标识 (identifier, ID)
用于识别或命名数据元素,也可能表示该数据元素某些属性的一个或多个字符。
导入 (import)
用来读取对所使用的应用程序来说不为本机格式的文件。
行业标准报告 (Industry Standards report)
根据所选行业标准对用户 Web 应用程序上发现的问题及相关信息的报告。“行业标准”报告包括 SANS Top 20、OWASP Top 10 和 WASC 威胁分类。
会话中检测 (in-session detection)
所接收响应中对于会话中模式的检测,以验证该会话是否仍处于登录状态。
会话中模式 (in-session pattern)
登录页面中识别的模式,如 AppScan® 可用来验证其是否仍处于登录状态的注销链接。
不充分反自动化 (insufficient anti-automation)
当 Web 站点准许攻击者将应当仅手动执行的过程自动化时产生的结果。
交互式 URL (interactive URL)
包括将由用户手动填充的表单的 URL。
侵入式测试 (invasive test)
如果在应用程序上运行可能会引起拒绝服务状态的可选测试。
问题 (issue)
Web 应用程序易受其攻击的安全风险,或者可能是未经授权的用户可视的敏感信息。

J

Java Applet
Java 编写的 applet,可通过使用 Java 虚拟机 (JVM) 在 Web 浏览器中运行。
Java 虚拟机(virtual machine, JVM)
可运行编译的 Java 代码(applet 和应用程序)的处理器的软件实现。

L

链接抽取 (link extraction)
为从 Web 应用程序中发现和收集链接而进行的代码解析或执行。
登录序列 (login sequence)
使 AppScan® 能够登录到 Web 应用程序以对其进行扫描的用户输入序列。建议对登录进行手动记录。然后,AppScan 将在扫描期间其需要登录的任何时候都回放该序列。对登录序列进行记录时,AppScan 将分析操作和请求。回放登录时,AppScan 将尝试(缺省情况下)重现基于操作的登录;如果该操作不成功,那么它将使用基于请求的登录

M

操纵 (manipulation)
攻击者基于一个或多个属性,对数据元素、元素组、操作或操作组所做的修改。例如,通过移除必须的参数或不按顺序执行步骤来修改输入。
手动探索 (manual explore)
手动对 Web 应用程序中进行搜寻以访问和测试依赖于实际用户输入的站点部分的这一过程。
元字符 (metacharacter)
模式处理期间有特殊意义的 ASCII 字符。此类字符用来代表处理期间可匹配的单字节或多字节字符模式。
多重部件请求 (multipart request)
包含多个内容类型的请求。为减少不必要的内存消耗,扫描期间将从多重部件请求中自动滤除某些内容类型。可在配置 > 高级配置 > 多重部件内容类型过滤器中配置将不会过滤哪些类型。
多阶段扫描 (multiphase scan)
包含两个或更多阶段的扫描。每个阶段包括一个“探索”阶段和一个“测试”阶段,“测试”阶段在“探索”阶段之后。
多步骤操作 | 多步骤序列
必须按特定顺序发送以访问应用程序特定部分的两个或更多请求的序列。(例如:将项目添加到购物车 > 输入支付详细信息 > 接收订单确认。)将此类多步骤操作记录为扫描配置的一部分可确保扫描站点的上述部分。

N

网络服务 (network service)
在网络中传输数据或提供数据转换的服务。
不易受攻击的变体
不易受漏洞或安全威胁影响的阴性测试或假阳性测试。
NTLM
请参阅 Windows NT®LAN Manager
数字溢出 (numeric overflow)
算术计算所得出的结果超出所能容纳空间的情况。

P

父节点 (parent node)
包含当前节点的节点。
解析 (parse)
用来将一系列信息(如命令或文件)分解为若干组成部分。
路径 (path)
URL 中指向因特网资源位置的部分。
路径过滤 (path filtering)
根据设置条件滤除或包含页面的过程。
路径遍历 (path traversal)
通过修改 URL 中请求的文档或资源位置从而强制访问驻留在 Web 文档根目录外的文件、目录和命令来进行攻击的一种方法。
模式 (pattern)
使用一个或多个正则表达式来描述欲识别文本的方法。
PCI
请参阅外围组件互连
渗透测试 (penetration test)
一种通过模拟黑客攻击来评估 Web 应用程序安全性的方法。
外围组件互连 (Peripheral Component Interconnect, PCI)
在处理器和连网设备间提供高速数据路径的本地总线。
许可权 (permission)
执行活动(如读取和撰写本地文件、创建网络连接和装入本机代码)的权限。
个人识别号码 (personal identification number, PIN)
在 Cryptographic Support 中,由组织指定给个人用作身份证明的唯一号码。PIN 一般由金融机构指定给其客户。
阶段 (phase)
包括探索阶段(后跟扫描测试阶段)的过程。
阶段限制 (phase limit)
扫描允许的阶段数量最大值。此限制可配置。
PIN
个人识别号码。
平台 (platform)
操作系统硬件(构成程序所运行的操作环境)的组合。
端口 (port)
用于在应用程序之间进行通信的端点,一般是指逻辑连接。端口提供队列用于发送和接收数据。各端口有一个端口号用于标识。
端口侦听器 (port listener)
可使产品通过侦听超出限制的连接来验证某些测试的机制。
可预测的资源位置 (Predictable Resource Location)
用于显示所隐藏 Web 站点内容和功能的攻击方法。攻击会搜索标准位置中不是旨在供公共查看的内容,如临时文件、备份文件、配置文件或示例文件。
特权升级 (privilege escalation)
对使用不同用户特权运行的扫描进行引用的过程,目的是测试访问权不足的用户是否可访问特权资源。
提示 (prompt)
请求信息或用户操作的消息或显示符号。用户必须响应才可以让程序继续。
代理 (proxy)
特定网络应用程序(如 Telnet 或 FTP)从一个网络到另一个网络的应用程序网关,例如,防火墙的代理 Telnet 服务器可执行用户的认证,然后使流量通过代理,就好像它不存在一样。功能在防火墙而非客户机工作站中执行,这会加重防火墙的负荷。

R

冗余路径限制 (redundant path limit)
扫描中扫描同一路径的次数的最大值,目的是减少扫描时间和消除重复结果。
正则表达式 | regexp
在搜索模式中定义字符串或字符串组的一组字符、元字符和运算符。
合规性报告 (regulatory compliance report)
对在 Web 应用程序上所发现与所选法规或法律标准不相符的问题的报告。法规包括加拿大、欧盟、日本、英国、美国的“法案”、“议案”和“法律”,以及 MasterCard 和 Visa 的规范。还可创建定制的合规性报告模板。
相对路径 (relative path)
以当前工作目录开头的路径。
修复 (remediation)
有关如何修订问题的建议。
基于请求的登录 (request-based login)
此类型的登录回放用于重现对登录序列进行记录时发送的请求。
限制 (restriction)
可将扫描仅限于列出的 URL 的过滤器的类型。
Result Expert
一种可选功能,可在扫描后予以运行以将 CVSS 设置、截屏和其他信息添加到扫描结果的“问题信息”选项卡。
反向工程 (reverse engineer)
分析设备或系统,以了解其设计、构造和操作的详细信息。
风险分析 (risk analysis)
对在 Web 应用程序中所发现安全性问题的分析。
风险评估 (risk assessment)
对某个操作或方案的优势和结果进行的评估。
风险管理 (risk management)
对资源进行最佳分配,以达到对组织中防御措施的具有成本效益的投资。
角色 (role)
一组许可权。

S

清理 (sanitize)
在 Web 应用程序安全性范畴内,在使用用户输入之前清理用户输入中的有害或危险字符的操作。
扫描 (scan)
探索和测试应用程序并提供结果的过程。
扫描配置 (scan configuration)
用来定义用户的应用程序/服务、环境和所选扫描方法的 AppScan® 设置的集合。
扫描模板 (scan template)
可装入以用于扫描的扫描配置。
调度程序 (scheduler)
多线程、多过程的后台服务器,旨在基于简单计时方案处理作业的调度和启动。
安全审计 (security audit)
系统或应用程序的手动或系统化可测量技术评估。
安全风险 (security risk)
威胁的潜在成功机会和可能继而发生的损害。
序列 (sequence)
记录的 URL 的列表。
会话 (session)
网络上两个站、软件程序或设备之间逻辑或虚拟的连接,可使两个元素进行通信和交换数据。另请参阅事务
会话凭证 (session credential)
由 Web 服务器提供的一串数据,存储在 Cookie 或 URL 中,用于识别用户和授予用户执行各种操作的权限。
会话定置 (session fixation)
允许攻击者定置用户会话标识并采用其在线身份的一种攻击方法。
会话劫持 (session hi-jacking)
攻击者对用户会话进行的破坏。攻击者可以复用所窃取的会话以假冒用户。
会话标识 (session ID)
请参阅会话标识
会话标识 (session identifier, session ID)
攻击者对用户会话进行的破坏。攻击者可以复用所窃取的会话以假冒用户。
会话令牌 (session token)
由浏览器作为参数或 Cookie 发送,以便在用户及其在 Web 应用程序上的当前会话之间进行关联的标识。另请参阅会话标识瞬态令牌
严重性等级 (severity rating)
扫描对问题指定的级别,表示其所代表的安全风险。
shell
用户和操作系统之间的软件接口。shell 通常分为两类:命令行 shell,可为操作系统提供命令行界面;图形 shell,可提供图形用户界面 (GUI)。
源代码 (source code)
以人可读的格式编写的计算机程序。源代码转换为计算机可使用的二进制代码。
电子欺骗 (spoofing)
伪造传输的发送地址以非法进入某个安全系统的技术。
SQL
请参阅结构化查询语言
SQL 注入 (SQL injection)
请参阅“结构化查询语言”注入。
阶段 (stage)
扫描阶段的一部分,在此期间 AppScan® 可对站点进行探索或测试。
无状态协议 (stateless protocol)
不维护命令之间的关系的协议。HTTP 就是无状态协议的一个示例。
结构化查询语言 (Structured Query Language, SQL)
用于定义和操控关系数据库中数据的一种标准化语言。
结构化查询语言注入 (Structured Query Language injection, SQL injection)
用于通过操纵应用程序输入修改后端 SQL 语句,从而对 Web 站点加以利用的攻击方法。
语法 (syntax)
构造命令或语句的规则。

T

测试修订 (test fix)
为特定客户提供的临时修订,用来在所报告问题的响应中进行测试。
测试策略 (test policy)
将扫描限制到测试的特定类别和类型的一项策略。
测试请求 (Test request)
在扫描的“测试”阶段发送到应用程序的请求。测试请求为显示安全漏洞而设计。
测试阶段
扫描的一个阶段,在此期间被扫描的应用程序的对象和逻辑将提交到综合性密集攻击的典型、错误和模拟恶意使用技术,得出安全漏洞的完整清单。
线程 (thread)
过程控制中的计算机指令流。在某些操作系统中,线程是过程中最小的操作单位。若干线程可以并行运行,执行不同作业。
威胁 (threat)
一种安全性问题,或有害操作,如病毒的部署或非法网络渗透。
威胁分类
一组安全问题。对于每个威胁类,都有许多特定测试;对于每个测试,都有许多变体。WASC 威胁分类是一项合作努力,旨在对可能导致网站、其数据或其用户受到威胁的漏洞和攻击进行分类。在 AppScan Standard 中,并未使用所有的 WASC 威胁分类,并且存在其他没有 WASC 分类的分类(例如,服务器端请求伪造)。有关 WASC 威胁分类的更多详细信息可在以下位置获取:http://projects.webappsec.org/w/page/13246978/Threat%20Classification
事务 (transaction)
(发到应用程序的)请求和它所产生的(来自应用程序的)响应。
瞬态令牌 (transient token)
其值会发生更改的令牌(通常为会话令牌)。发送到期的瞬态令牌可能会导致 AppScan® 从其正在测试的应用程序中注销,因此必须保持瞬态令牌为最新状态。另请参阅会话令牌

U

UI
用户界面,请参阅图形用户界面
统一资源定位符 (Uniform Resource Locator, URL)
在诸如互联网之类的网络中,可访问的信息资源的唯一地址。URL 包括用于访问信息资源的协议的缩写名称和此协议用于定位信息资源的信息。
UNIX®
可移植性很高的操作系统,在多用户环境中有多种程序设计功能。操作系统最初针对小型计算机上的使用而开发,但后来为适用于大型机和微型计算机而进行了改动。操作系统是 UNIX® 操作系统的 IBM 实施。
URL
请参阅统一资源定位符
用户定义的测试 (user-defined test)
除自动创建并运行的测试外,由用户创建的测试。

V

验证
验证某项测试达到其目标是成功还是失败的过程。
漏洞 (vulnerability)
操作系统、系统软件或应用程序软件组件中的安全隐患。

W

Web 应用程序 (web application)
Web 浏览器可访问的应用程序,提供信息静态显示之外的某种其他功能(例如,允许用户查询数据)。Web 应用程序的常见组件包括 HTML 页面、JSP 页面和 servlet。
Web 浏览器 (web browser)
一种客户机程序,向 Web 服务器发起请求并显示服务器返回的信息。
Web 内容 (web content)
构成 Web 站点的文件和其他资源。Web 内容可包括图像文件、音频文件、HTML 文件、JSP 文件、样式表、数据库条目或任何可在 Web 站点上看到的内容。
Web 安全性 (web security)
与万维网、HTTP 和 Web 应用程序软件相关的信息安全性理论和实践。
Web 服务器 (web server)
一种能够服务超文本传输协议 (Hypertext Transfer Protocol, HTTP) 请求的软件程序。
Web 服务
可执行特定任务的应用程序,并可通过 HTTP 和 SOAP 之类的开放式协议访问。
Web 服务描述语言 (WSDL)
基于 XML 的规范,用来将网络服务描述为一组在包含面向文档或面向过程信息的消息上进行操作的端点。
白盒 (white box)
白盒扫描分析实际代码,如静态分析中的 JavaScript 代码。与“黑盒”比较。
Windows NT® LAN Manager (NTLM)
各种 Microsoft® 网络协议中用于认证的协议。
WSDL
请参阅“Web 服务描述语言(Web Services Description Language,WSDL)”。

X

XSS
请参阅跨站点脚本编制