用語集
この用語集には、[製品名] のソフトウェアと製品で使用する用語と定義が記載されています。
この用語集では次の相互参照が使用されています。
- 「を参照」は、非優先用語の場合は優先用語を、省略語の場合は省略していない形式を示すものです。
- 「も参照」は、関連する用語または対比される用語を示します。
その他の用語および定義については、HCL Terminology Web サイトを参照してください (新規にウィンドウが開きます)。
A
- 機能の悪用 (abuse of functionality)
- Web サイト自体の機能を使用して、アクセス制御メカニズムを取り込んだり、かいくぐったり、阻止したりする技法。
- 受け入れ済みの Cookie (accepted cookie)
- ブラウザーによって制限なしで受け入れられる Cookie。
- アクセス制御 (access control)
- コンピューター・セキュリティーにおいて、ユーザーが、自分に許可されたコンピューター・システムのリソースのみにアクセスできるようにするためのプロセス。
- アドバイザリー (advisory)
- 脅威や脆弱性に関する情報や分析が含まれている文書。
- アプレット
- 特定のタスクを実行し、通常はオペレーティング・システム間で移植できるプログラム。アプレットは、多くの場合 Java で記述されており、インターネットからダウンロードして Web ブラウザーで実行できる。
- アプリケーション (application)
- 特定の 1 つ以上のビジネス・プロセスを直接サポートする機能を提供する、1 つ以上のコンピューター・プログラムまたはソフトウェア・コンポーネント。アプリケーション・サーバー (application server) も参照。
- アプリケーション・サーバー (application server)
- 分散ネットワーク内のサーバー・プログラムであり、アプリケーション・プログラムの実行環境を提供します。アプリケーション (application) も参照。
- アプリケーション・ツリー・カウンター (application tree counter)
- アプリケーション・ツリーの各ノードの横に括弧付きで表示される一連の数値。その分岐に含まれている項目の数を示す数値。
- 攻撃 (attack)
- 権限を持たないユーザーがソフトウェア・プログラムやネットワーク化システムの操作を侵害しようとする行為。アタッカー (attacker) も参照。
- アタッカー (attacker)
- 情報システムに危害を加えたり、一般的なアクセスが意図されていない情報にアクセスしたりすることを試みる、ユーザー (人間またはコンピューター・プログラム)。攻撃 (attack)、ハッカー (hacker)も参照。
- 認証ポイント (authentication point)
- 認証子が含まれているコンテンツ・アセット (フォーム・ベースの認証の場合) または認証子によってアクセスされるコンテンツ・アセット (HTTP、NT Lan Manager、証明書ベースの検証の場合)。
- 認証子 (authenticator)
- Kerberos プロトコルで、クライアントによって生成され、クライアント認証のためにサーバーによって使用されるチケットと一緒に送信されるデータのストリング。
B
- バック・ドア (back door)
- システムのセキュリティー・ホール。ハッカーは機密情報にアクセスするために、プログラマーは保守やテストを実行するために使用する。
- ブール式 (Boolean expression)
- 評価の結果がブール値になる式。ブール値 (Boolean value) も参照。
- ブール値 (Boolean value)
- 真または偽のいずれかになる値。それぞれを 1 または 0 としてコーディングすることもある。ブール式 (Boolean expression) も参照。
- アクセス制御の不徹底 (broken access control)
- 認証ユーザーに関する不適切な制限が原因で発生するぜい弱性。アタッカーはその種の欠陥に付け込んで、他のユーザーのアカウントにアクセスしたり、機密ファイルを表示したり、権限のない機能を使用したりすることがある。
- 認証およびセッション管理の不徹底 (broken authentication and session management)
- アカウント資格情報やセッション・トークンが適切に保護されていないときに発生する問題。アタッカーは、パスワード、鍵、セッション Cookie、その他のトークンを不正に使用したり、他のユーザーの ID を乗っ取ったりすることがある。
- ブルート・フォース・アタック (brute force attack)
- 試行錯誤を繰り返す方法を使用して、Web アプリケーションの有効なアカウントのユーザー名およびパスワードを獲得する攻撃。成功した場合、アタッカーは、クレジット・カード番号、暗号鍵、機密文書のプロファイル・データ、およびユーザー特権の管理に使用するツール、そして Web アプリケーションのコンテンツにアクセスが可能になります。
- バッファー・オーバーフロー (buffer overflow)
- メモリーの一部を上書きすることによってアプリケーションのフローを変更する攻撃技法。バッファー・オーバーフローは、ソフトウェアの誤動作の一般的な原因である。
C
- CA
- 認証局 (certificate authority) を参照。
- 証明書 (certificate)
- コンピューター・セキュリティーで使用するデジタル文書。証明書所有者の ID に公開鍵をバインドすることによって、証明書所有者の認証が可能になる。認証局が証明書を発行し、デジタル署名を組み込む。認証局 (certificate authority) も参照。
- 認証局 (CA) (certificate authority (CA))
- デジタル証明書を発行する信頼できる第三者の組織または企業。認証局は、通常、固有の証明書を付与された個人の ID を検証します。証明書 (certificate)、Secure Sockets Layer も参照。
- 証明書失効リスト (CRL) (certificate revocation list (CRL))
- スケジュールとして設定されている有効期限の前に失効した証明書のリスト。証明書失効リストの管理は認証局が行う。Secure Sockets Layer (SSL) ハンドシェークのときに、そのリストに基づいて対象の証明書が失効していないかどうかが確認される。
- コンプライアンス (compliance)
- ターゲット・コンピューター上で規定されたソフトウェアおよびセキュリティーの仕様に従っている状態、またはその状態に至るプロセス。
- 構成ファイル (configuration file)
- プログラム、システム・デバイス、システム、またはネットワークの特性を指定するファイル。
- コンテンツ・スプーフィング (content spoofing)
- Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。
- コンテキスト (context)
- スキャン実行時に収集された問題に関する情報。
- Cookie
- サーバーがクライアント・マシンに保管して、後続のセッションでアクセスする情報。サーバーは、Cookie を使用してクライアントに関する特定の情報を取得できる。
- Cookie ID
- Cookie ID (cookie identifier) を参照。
- Cookie ID (cookie identifier)
- スキャン実行時に検出された Cookie に割り当てられる固有 ID。
- Cookie の改ざん (cookie poisoning)
- 身元詐称やセッション乗っ取りを実行するための技法。ハッカーは、ブラウザーの Cookie に格納されている情報を操作することによって、ユーザーの ID を乗っ取って、そのユーザーの情報に不正な目的でアクセスする。
- 資格情報の予測 (credential prediction)
- 特定のセッションまたはユーザーを識別するための固有値を推定することによって、Web サイトのユーザーに成りすます (ユーザーを乗っ取る) 方法。
- CRL
- 証明書失効リスト (certificate revocation list) を参照。
- クロスサイト・スクリプティング (XSS) (cross-site scripting (XSS))
- クライアントから入力されたデータを Web サイトでそのまま書き出すように強制設定することによって、そのデータをユーザーの Web ブラウザーで実行する攻撃技法。
- カスタム・エラー・ページ (custom error page)
- ユーザーがデフォルトのエラー・メッセージをアプリケーション用にカスタム・デザインされたメッセージに置き換えることができる、ほとんどの Web サーバー・ソフトウェアにある機能。
D
- ダッシュボード (dashboard)
- 各種のソースから取得したデータを統合し、関連情報やコンテキスト情報を一括表示するためのインターフェース。
- Data Encryption Standard (DES)
- 秘密鍵によるデータの暗号化/復号のために設計された暗号アルゴリズム。
- サービス拒否攻撃 (DoS) (denial-of-service attack (DoS))
- ネットワークに存在する 1 つ以上のホストをダウンさせることによって、そのホストが自身の機能を正しく実行できないようにする攻撃を指すコンピューター・セキュリティー用語。一定の期間、ネットワーク・サービスが中断される。
- 拒否された Cookie (denied cookie)
- 情報を格納して指定のドメインに返すことができない Cookie。
- depth
- ソース・ページからターゲット・ページに移動するために、ユーザー、または自動クローラーが実行する必要があるクリックの回数。
- DES
- Data Encryption Standard を参照。
- デジタル署名 (digital signature)
- メッセージまたはオブジェクトの認証性と完全性を受信側に保証するために、秘密鍵によって暗号化してメッセージまたはオブジェクトに追加する情報。デジタル署名は、メッセージまたはオブジェクトが、秘密鍵または共有秘密対称鍵を所有するエンティティーまたはその鍵にアクセスできるエンティティーによって署名されたことの証明になる。
- ディレクトリー索引付け (directory indexing)
- インデックス・ページが表示されない場合にディレクトリーの内容を公開する Web サーバーの機能。
- DNS
- ドメイン・ネーム・システム (Domain Name System) を参照。
- 文書タイプ宣言 (document type declaration)
- 文書タイプ定義の正式な指定内容が含まれているマークアップ宣言。
- domain
- インターネットの命名階層の一部。ドメイン名は、一連の名前 (ラベル) をピリオド (ドット) で区切った形式になる。
- ドメイン名
- インターネット通信で使用するホスト・システムの名前。ドメイン名は、一連のサブネームを区切り文字で区切った形式になる (例えば、www.hcl.com)。ドメイン・ネーム・システム (Domain Name System) も参照。
- ドメイン・ネーム・システム (DNS) (Domain Name System (DNS))
- ドメイン名を IP アドレスにマップする分散データベース・システム。ドメイン名 (domain name) も参照。
- DoS
- サービス拒否攻撃 (denial-of-service attack) を参照。
- 格下げされた Cookie (downgraded cookie)
- セッション Cookie のステータスに変更された永続 Cookie。
E
- エンコード攻撃 (encoding attack)
- ユーザー提供のデータのフォーマットを変更してサニティー・チェック・フィルターを迂回することで攻撃を助長する悪用手法。
- 暗号化 (encryption)
- コンピューター・セキュリティーにおいて、元のデータを取得できないように理解不能な形式にデータを変換するプロセス。暗号化解除プロセスを使用しなければ元のデータを取得できない。
- エンティティー拡張攻撃 (entity expansion attack)
- アプリケーション・サーバーでユーザー・データをそのまま書き出すように仕向ける XML レベルのサービス拒否攻撃の一種。
- エクスポート (export)
- 行の文書、データベース、またはイメージのコピーを、別のアプリケーションが必要とするファイル・フォーマットに保存すること。
- エクスポージャー (exposure)
- 許可された方法または無許可の方法を使用して情報がアクセスできる度合い。
- 外部ドメイン (external domain)
- 最初のバックスラッシュまでの URL がスキャン対象のサイトの開始 URL とは異なるドメイン。
金
- 誤検出 (false positive)
- 検出 (サイトが攻撃に対して脆弱であることを示す) として分類されるが、 ユーザーの判断は実際には検出なし (脆弱ではない) であるテスト結果。
- ファイル
- 割り当てられている名前で格納したり取得したりする関連データの集合。
- 推奨される修正 (fix recommendation)
- 検出された問題から Web アプリケーションを保護するための Web アプリケーションの修正に関する具体的な技術上の詳細情報。
- 解決済みの状況 (fixed status)
- 問題への対応が既に行われている状況。
- フォルダー・ロール (folder role)
- フォルダー内のすべてのジョブ、レポート・パック、およびダッシュボードに適用される一連の許可。ユーザー・タイプ (user type) も参照。
- 強制ブラウズ (forceful browsing)
- 予測可能なリソースの位置 (Predictable Resource Location)を参照。
- 書式文字列攻撃 (format string attack)
- 文字列書式設定ライブラリー機能を使用して他のメモリー・スペースにアクセスすることによってアプリケーションのフローを変更する攻撃。特定の C/C++ 関数 (fprintf、printf、sprintf など) の書式制御ストリング入力としてユーザー入力データを直接使用するときに、ぜい弱性が発生する。
G
- GET
- HTTP の <FORM> タグの METHOD 属性のパラメーター。このパラメーターを指定すると、ブラウザーからサーバーにフォーム・データが送信されるときに、フォーム・データが URL の末尾に追加される。
H
- ハッカー (hacker)
- システム上の保護リソースへのアクセス権限の取得を試みる、権限を持たないユーザー。アタッカー (attacker) も参照。
- 危険な文字 (hazardous character)
- XSS や SQL インジェクションなど、Web アプリケーション攻撃を行うために使用される文字。
- 非表示のパラメーター (hidden parameter)
- Web ページに表示されない HTML フォームのパラメーター。
- 隠しフィールド (hidden field)
- ディスプレイ・ファイルのフィールドのうち、プログラムとの間でやり取りされるものの、ディスプレイには送信されないフィールド。
- host
- ネットワークに接続し、そのネットワークへのアクセス・ポイントを提供するコンピューター。ホストはクライアント、サーバー、または同時にその両方である場合がある。サーバー (server) も参照。
- ホスト名 (host name)
- インターネット通信でコンピューターに割り当てられている名前。ホスト名は、完全修飾ドメイン名 (mycomputer.city.company.com など) の場合もあれば、特定のサブネーム (mycomputer など) の場合もある。
I
- 情報漏えい (information leakage)
- 機密データが Web サイトから漏れること。アタッカーがアプリケーションを不正に利用する原因になる。
- 注入に関する欠陥 (injection flaw)
- アタッカーが悪意のあるコードを Web アプリケーション経由で外部システムに中継するために利用する欠陥。
- 安全でないストレージ (insecure storage)
- 暗号機能によって保護されていないクライアントのハード・ディスクに格納されている情報や資格情報。
- セッション内検出
- まだログインしていることを確認するための、AppScan が受信する応答でのセッション内パターンの検出。
- セッション内パターン (in-session pattern)
- まだログインしていることを確認するために AppScan が使用できる、ログアウト・リンクなど、ログイン・ページで識別されるパターン。
- 自動化の停止が不適切 (insufficient anti-automation)
- 手動でのみ実行するべきプロセスをアタッカーが自動化してしまうことが可能な Web サイトの状態。
- 不適切な認証 (insufficient authentication)
- アタッカーのアクセス許可の認証が適切に行われないために、アタッカーが機密性の高いコンテンツや機能 (Web ベースの管理ツールなど) にアクセスすることが可能になっている Web サイトの状態に起因するぜい弱性。
- 不適切な許可 (insufficient authorization)
- 本来はアクセス制御による制限が必要な機密性の高いコンテンツや機能へのアクセスが可能になっている Web サイトの状態に起因するぜい弱性。
- 不適切なプロセス検証 (insufficient process validation)
- アタッカーがアプリケーションの本来のステップ・シーケンスを迂回することが可能になっている Web サイトの状態に起因するぜい弱性。
- 不適切なセッション有効期限 (insufficient session expiration)
- アタッカーが許可のために古いセッション ID を再利用することが可能になっている Web サイトの状態に起因するぜい弱性。
- 内部ドメイン (internal domain)
- コンテンツ・スキャンに組み込まれているドメイン。開始 URL のリストに表示される。
- 安全でないテスト (invasive test)
- アプリケーションで実行した場合に、サービス妨害状態を招く可能性があるオプション・テスト。
- 問題 (issue)
- Web アプリケーションが脆弱であるセキュリティー上のリスク、 または場合によっては、権限を持たないユーザーが確認できる機密情報。
- 問題 ID (issue ID)
- 問題 ID (issue identifier) を参照。
- 問題 ID (issue identifier)
- コンテンツ・スキャンで検出された問題の各インスタンスに割り当てられる番号。
J
- ジョブ所有者 (job owner)
- ジョブの完了全体に責任を持つユーザーまたはグループ。
K
- key
- メッセージのデジタル署名、検証、暗号化、または復号に使用する暗号数値。
- 鍵交換プロトコル (key exchange protocol)
- 関係する両者がトランザクションの保護のために使用する鍵を交換する方法を定めたプロトコル。鍵を交換すれば、送信側でデータを暗号化し、受信側でデータを復号することが可能になる。
- キー長
- 鍵を構成するデータのサイズの測定値。その値によって、鍵がどれほど堅固かが決まる。例えば、48 ビットの短い鍵よりも 128 ビットのような長い鍵のほうが解読は難しいと考えられる。
L
- LDAP
- Lightweight Directory Access Protocol を参照。
- LDAP 注入 (LDAP injection)
- Lightweight Directory Access Protocol 注入 (Lightweight Directory Access Protocol injection) を参照。
- 制御された Cookie (leashed cookie)
- 第一者のコンテキストでは受け入れられるものの、第三者のコンテキストではブロックされる Cookie。
- Lightweight Directory Access Protocol (LDAP)
- TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを提供し、より複雑な X.500 ディレクトリー・アクセス・プロトコル (DAP) のリソース要件に制約されないオープン・プロトコル。例えば、LDAP を使用して、インターネットまたはイントラネット・ディレクトリー内の個人、組織、その他のリソースを見つけることができる。Lightweight Directory Access Protocol 注入 (Lightweight Directory Access Protocol injection) も参照。
- Lightweight Directory Access Protocol 注入 (LDAP 注入) (Lightweight Directory Access Protocol injection (LDAP injection))
- ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。Lightweight Directory Access Protocol も参照。
- リンク
- 作成者がハイパーテキストで定義する 2 つの情報ノードの関連付け。
- ログイン手順 (login sequence)
- AppScan が Web アプリケーションにログインすることを可能にする、URL およびユーザー入力の自動または手動による記録された順序。
- longdesc
- 詳細説明 (long description) を参照。
- 詳細説明 (longdesc) (long description (longdesc))
- HTML の image 要素、frame 要素、iframe 要素の中で使用する属性。Web ページにイメージを配置するコードとそのイメージの説明を関連付ける属性。代替テキスト (alternative text) も参照。
月
- 操作 (manipulation)
- 1 つまたは複数のプロパティーに基づくデータ要素、要素のグループ、アクション、またはアクションのグループのアタッカーによる変更。例えば、必須引数を削除したり、ステップを不適切な順序で実行したりすることによる入力の変更。
- マニュアル探査
- Web アプリケーションを手動でクローリングし、サイトの一部 (実際のユーザーからの入力によって異なる) にアクセスしてテストするプロセス。
- MIME タイプ
- インターネット経由で転送するオブジェクトのタイプを識別するためのインターネット標準。
- マルチフェーズ・スキャン (multiphase scan)
- 2 つ以上のフェーズで構成されるスキャン。フェーズ (phase) も参照。
N
- ナビゲーション・トレール (navigation trail)
- 現行ページの経路を表示するオブジェクト。
- ノイズ状況 (noise status)
- 無関係なので問題と見なすべきではない状況。ノイズ状況の場合は、誤検出の可能性がある。
O
- オペレーティング・システム・コマンド実行 (OS コマンド実行) (operating system commanding (OS commanding))
- アプリケーション入力を操作してオペレーティング・システム・コマンドを実行することによって、Web サイトを不正に利用するための技法。
- OS コマンド実行 (OS commanding)
- オペレーティング・システム・コマンド実行 (operating system commanding) を参照。
P
- P3P
- Platform for Privacy Preferences を参照。
- P3P 圧縮ポリシー (P3P compact policy)
- Web ページのプライバシー・ポリシーをブラウザーに伝達するための 3 文字または 4 文字のコードのリスト。それらのコードによって、Cookie で収集される情報のタイプや情報の配布先を確認できる。Platform for Privacy Preferences も参照。
- パラメーターの改ざん (parameter tampering)
- サイトの URL パラメーターの情報を変更するための攻撃技法。ハッカーは、詐称のためにパラメーターの改ざんを利用する。
- 構文解析 (parse)
- コマンドやファイルなどの情報のストリングを、その構成パーツに分割すること。
- パス
- インターネット・リソースの場所を指す URL の一部。
- パス・フィルタリング (path filtering)
- 設定された基準に従ってページを除外または包含するプロセス。
- パス・トラバーサル (path traversal)
- URL で要求されている文書やリソースの場所を変更し、Web 文書のルート・ディレクトリーの外部にあるファイル、ディレクトリー、およびコマンドへのアクセスを強制設定する攻撃技法。
- 侵入テスト (penetration test)
- ハッカーによる攻撃をシミュレートすることで Web アプリケーションのセキュリティーを評価する方法。
- 許可 (permission)
- ローカル・ファイルの読み取りや書き込み、ネットワーク接続の確立、ネイティブ・コードのロードなどのアクティビティーを実行するための権限。
- 永続 Cookie (persistent cookie)
- 有効期限が切れるまで、またはユーザーが削除するまで、ユーザーのコンピューターに格納されている Cookie。永続 Cookie を使用すれば、ユーザーに関する識別情報 (Web サーフィンに関する行動や特定の Web サイトに関するユーザー設定など) を収集できる。
- フェーズ (phase)
- 探査ステージの後にテスト・ステージが続くスキャンのプロセス。複数フェーズ (multiphase scan) も参照。
- フェーズ限度 (phase limit)
- スキャンで認められるフェーズの最大数。この限度は構成可能である。
- PKI
- Public Key Infrastructure も参照。
- Platform for Privacy Preferences (P3P)
- Web サイトのプライバシー・ポリシーを標準形式で定義するための World Wide Web Consortium (W3C) の仕様。詳しくは、P3P Project の Web サイト (http://www.w3.org/P3P/) を参照。P3P 圧縮ポリシー (P3P compact policy) も参照。
- ポート
- アプリケーションどうしの通信の終点。通常は論理接続を指す。ポートには、データの送受信のためのキューが用意されている。各ポートには識別のためのポート番号がある。
- POST
- HTTP の FORM タグの METHOD 属性のパラメーター。このパラメーターを指定すると、ブラウザーからサーバーにフォーム・データが送信されるときに、関連 URL のデータとは別に HTTP トランザクションの中でデータが送信される。
- 予測可能なリソースの位置
- Web サイトの隠しコンテンツや隠し機能を見つけ出すための攻撃技法。公開表示を意図していないコンテンツ (一時ファイル、バックアップ・ファイル、構成ファイル、サンプル・ファイルなど) を標準的な場所から探し出す攻撃。
- プライバシー・シール (privacy seal)
- 組織の Web サイトに表示して、その組織がオンライン・プライバシー・ポリシーの特定の業界標準に適合していることを示すロゴ。
- 秘密鍵 (private key)
- 公開鍵アルゴリズムで使用する暗号鍵ペアの秘密側の鍵を指すコンピューター・セキュリティー用語。秘密鍵を知っているのは所有者だけである。秘密鍵は通常、データのデジタル署名や、対応する公開鍵で暗号化されたデータの復号に使用する。公開鍵 (public key) も参照。
- 公開鍵 (public key)
- 公開鍵アルゴリズムで使用する暗号鍵ペアの公開側の鍵を指す用語。公開鍵は全利用者に公開される。公開鍵は通常、デジタル署名の検証、およびデータを暗号化するために使用されます。暗号化されたデータは、対応する秘密鍵でのみ暗号化解除が可能です。秘密鍵 (private key)、公開鍵インフラストラクチャー (public key infrastructure) も参照。
- Public Key Infrastructure (PKI)
- ネットワーク・トランザクションにかかわる両者の妥当性の検証と認証を行うためのデジタル証明書、認証局、およびその他の登録局のシステム。公開鍵 (public key) も参照。
R
- 冗長なパスの制限 (redundant path limit)
- スキャン時間を削減し、重複する結果を除くために、1 回のスキャンで同一パスをスキャンすることができる最大回数。
- regex
- 正規表現 (regular expression) を参照。
- 正規表現 (regular expression) (regex)
- 検索パターンでストリングまたはストリングのグループを定義する、文字、メタ文字、および演算子の集合。
- 相対パス (relative path)
- 現行作業ディレクトリーから始まるパス。
- 修復 (remediation)
- 問題の解決方法に対する提案。
- リスク分析 (risk analysis)
- Web アプリケーションで検出されたセキュリティー問題の分析。リスク・アセスメント (risk assessment) も参照。
- リスク評価 (risk assessment)
- アクションまたはシナリオのメリットおよび結果の評価。リスク分析 (risk analysis) も参照。
- リスク管理 (risk management)
- 組織内で防止策への費用効果の高い投資を実現するためのリソースの最適な割り振り。
- 堅固 (robust)
- 例外状態 (入力の異常など) を効率的に処理するシステムを形容する用語。
- ルート局 (root authority)
- 証明書の署名パスの終点。
日
- スキャン
- AppScan がアプリケーションを探査およびテストして結果を提供するプロセス。
- スキャナー (scanner)
- Web アプリケーション内でソフトウェアの脆弱性を検索する、自動化されたセキュリティー・プログラム。
- スキャン・スケジュール (scan schedule)
- 自動的に実行されるスキャンの時間と頻度。
- スキャン・テンプレート (scan template)
- スキャンに使用するためにロードすることができるスキャン構成。
- Secure Sockets Layer (SSL)
- 通信プライバシーを提供するセキュリティー・プロトコル。クライアント/サーバー・アプリケーションは、SSL を使用することで、盗聴、不正アクセス、およびメッセージ偽造を防止するように設計された方法で通信できます。認証局 (certificate authority) も参照。
- セキュリティー監査 (security audit)
- システムやアプリケーションの手動によるまたは体系的な測定可能の技術審査。
- セキュリティー上のリスク (security risk)
- 結果的に発生するおそれのある脅威や損傷の潜在的な影響。
- サーバー
- 他のソフトウェア・プログラムまたはコンピューターにサービスを提供するソフトウェア・プログラムまたはコンピューター。「ホスト (host)」も参照。
- サーバー・グループ (server group)
- 1 つの単位としてテストできる項目 (通常はアプリケーション) のグループ。
- サーバー側アプリケーション・テクノロジー (server-side application technology)
- 動的 Web コンテンツを生成する Web サーバーに対応したテクノロジー。
- サーバー・サイド・インクルード (SSI) (server-side include (SSI))
- クライアントに送信する文書に動的情報 (現在日付、ファイルの最終変更日付、他のファイルのサイズや最終変更など) を組み込む機能。サーバー・サイド・インクルード注入 (server-side include injection) も参照。
- サーバー・サイド・インクルード注入 (SSI 注入) (server-side include injection (SSI injection))
- Web アプリケーションの障害を利用して、ユーザー入力データを不正に変更してから HTML ファイルに挿入する攻撃技法。アタッカーはこの技法によって、任意のオペレーティング・システム・コマンドを実行したり、次回のページ使用時に制限付きのファイルの内容を組み込んだりすることが可能になる。サーバー・サイド・インクルード (server-side include) も参照。
- セッション Cookie (session cookie)
- ユーザー個人を識別するわけではないセッション ID の形で情報を格納する Cookie。一時メモリーに格納され、ブラウザーを閉じた後に保存されることはない。
- セッション証明書 (session credential)
- Web サーバーが提供し、Cookie や URL 内に保管され、ユーザーを識別して、そのユーザーにさまざまなアクションを実行する権限を与える、データのストリング。
- セッションの固定 (session fixation)
- アタッカーがユーザーのセッション ID を固定化して、そのオンライン ID を乗っ取る攻撃技法。
- セッション ID (session ID)
- セッション識別子 (session identifier)を参照。
- セッション ID (session identifier)
- Web サーバーによって提供されるデータの固有ストリング。ネットワーク通信でセッションが識別に使用され、Cookie または URL に格納されます。
- セッション・トークン (session token)
- ブラウザーからパラメーターまたは Cookie として送信される ID であり、Web アプリケーションではその ID によってユーザーと現行セッションの関連付けが行われる。
- 重大度の格付け (severity rating)
- スキャンによって問題に割り当てられたレベル。その問題が表すセキュリティー上のリスクを示す。
- SQL
- 「構造化照会言語 (Structured Query Language)」を参照。
- SQL 注入 (SQL injection)
- 構造化照会言語注入 (Structured Query Language injection) を参照。
- SSI
- サーバー・サイド・インクルード (server-side include) を参照。
- SSI 注入 (SSI injection)
- サーバー・サイド・インクルード注入 (server-side include injection) を参照。
- SSL
- 「Secure Sockets Layer」を参照。
- コマンドの隠蔽 (stealth commanding)
- サイトに損害を与える悪意のあるコードまたは権限のないコードを実行するために、危険なコマンドをトロイの木馬として忍び込ませる攻撃技法。
- 構造化照会言語 (SQL) (Structured Query Language (SQL))
- リレーショナル・データベースのデータを定義および操作するための標準化言語。構造化照会言語注入 (Structured Query Language injection) も参照。
- 構造化照会言語注入 (SQL 注入) (Structured Query Language injection (SQL injection))
- アプリケーション入力を操作してバックエンドの SQL ステートメントを変更することによって、Web サイトを不正に利用するための攻撃技法。構造化照会言語 (Structured Query Language) も参照。
- スタイル・シート (style sheet)
- スタイル・シート (stylesheet)を参照。
- 対称鍵暗号方式 (symmetric key cryptography)
- メッセージの送信側と受信側が 1 つの共通の秘密鍵を共有し、その秘密鍵を使用してメッセージを暗号化/復号する暗号システム。
T
- テスト・ポリシー (test policy)
- 特定のカテゴリーやタイプのテストにスキャンを限定するポリシー。
- テスト・ステージ
- スキャンするアプリケーションのオブジェクトおよびロジックに対して、 広範囲に及ぶ大量の、典型的で、エラーがあり、悪意をシミュレートした使用法を適用し、 それにより、セキュリティー上の脆弱性をくまなく調査する、スキャンのステージ。
- トランスポート層 (transport layer)
- OSI アーキテクチャーで、オープン・システム間のフロー制御とリカバリーのためのサービスを予測可能なサービス品質で提供する層。
U
- UNC
- 汎用命名規則 (Universal Naming Convention) を参照。
- Uniform Resource Locator (URL)
- インターネットなどのネットワークでアクセスできる情報リソースの固有のアドレス。URL には、情報リソースにアクセスするために使用されるプロトコルの省略名と、情報リソースを見つけるためにプロトコルによって使用される情報が含まれます。
- 汎用命名規則 (UNC) (Universal Naming Convention (UNC))
- サーバー名とネットワーク名が結合されたもの。それらの名前を組み合わせて、ドメイン内のリソースを識別する。
- URL
- Uniform Resource Locator を参照。
- ユーザー・タイプ (user type)
- 特定ユーザーがフォルダー内で何を実行できるか、どんな役割 (ロール) を与えられているかに関する記述。ユーザー・タイプには、「標準ユーザー」、「管理者」、「アクセス権限なし」がある。フォルダー・ロール (folder role) も参照。
水
- WCTP
- Wireless Communications Transfer Protocol を参照。
- 脆弱パスワード・リカバリー検証 (weak password recovery validation)
- アタッカーが他のユーザーのパスワードを不正に取得したり変更したりすることが可能になっている Web サイトの状態に起因するぜい弱性。リカバリーのためのユーザーの身元確認に必要な情報を簡単に予測できたり回避できたりする状況では、アタッカーが Web サイトのリカバリー・メカニズムを阻止する可能性がある。
- Web サーバー
- Hypertext Transfer Protocol (HTTP) 要求に対応できるソフトウェア・プログラム。
- Wireless Communications Transfer Protocol (WCTP)
- 有線 (ワイヤー・ライン) システムと両方向対応のワイヤレス・デバイスの間で英数字メッセージや 2 項メッセージをやり取りするために使用するサービスの一種。
X
- XML パス言語 (XML Path Language) (XPath)
- ソース XML データの各部分を一意的に識別したりアドレッシングしたりするために設計された言語。XSLT、XQuery、XML パーサーなどの XML 関連テクノロジーと併用する。XPath は World Wide Web Consortium の標準規格である。XML Path Language 注入 (XML Path Language injection) も参照。
- XML Path Language 注入 (XPath 注入) (XML Path Language injection (XPath injection))
- ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。アプリケーションが危険なユーザー入力を照会に組み込んでしまう状況では、アタッカーが照会にデータを注入することが可能になり、そのようにして新しく形成された照会がプログラマーの意図とは異なる形で解析される可能性がある。XML Path Language も参照。
- XML Rule Language (XRule)
- スキャン実行時に Web サイトで検索される XML テキスト・ストリング。
- XPath
- XML Path 言語 (XML Path Language) を参照。
- XPath 注入 (XPath injection)
- XML Path Language 注入 (XML Path Language injection) を参照。
- XRule
- XML Rule Language を参照。
- XSS
- クロスサイト・スクリプティング (cross-site scripting) を参照。