名詞解釋
本名詞解釋提供 [產品名稱] 軟體和產品的術語和定義。
這個名詞解釋使用下列交互參照:
- 請參閱會引導您從非偏好的術語參照偏好的術語,或從縮寫參照完整拼出的格式。
- 另請參閱會引導您參照相關或對照的術語。
如需其他術語及定義,請參閱 HCL Terminology 網站(在新視窗中開啟)。
A
- 功能濫用 (abuse of functionality)
- 這是一種利用網站本身的特性和功能來耗用、詐騙或阻撓存取控制機制的技術。
- 接受的 Cookie (accepted cookie)
- 這是瀏覽器接受的 Cookie,未受任何限制。
- 存取控制 (access control)
- 電腦安全中的一種處理程序,可確保使用者只能存取已獲授權的那些電腦系統資源。
- 諮詢 (advisory)
- 這是一份文件,含有關於威脅或漏洞的資訊及分析。
- Applet
- 這是執行特定作業的程式,通常具有作業系統之間的可攜性。Applet 往往是用 Java 撰寫,可以從網際網路下載,在 Web 瀏覽器中執行。
- 應用程式
- 這是指提供功能來直接支援一或多個特定商業程序的一或多個電腦程式或軟體元件。另請參閱應用程式伺服器 (application server)。
- 應用程式伺服器 (application server)
- 這是一個在分散式網路中的伺服器程式,提供應用程式的執行環境。另請參閱應用程式 (application)。
- 應用程式樹狀結構計數器 (application tree counter)
- 這是指在應用程式樹狀結構的每個節點旁,用括弧括住的各個數字系列,用來指示各分支中的項目數。
- 攻擊 (attack)
- 這是指未獲授權的人,意圖危害軟體程式或網路系統作業的任何嘗試。另請參閱攻擊者 (attacker)。
- 攻擊者 (attacker)
- 這是嘗試對資訊系統造成危害或存取未用於一般存取之資訊的使用者(人員或電腦程式)。另請參閱攻擊 (attack)、駭客 (hacker)。
- 鑑別點 (authentication point)
- 這是包含驗證碼的內容資產(表單型鑑別),或由驗證程式來存取的內容資產(HTTP、「NT LAN 管理程式」或憑證型驗證)。
- 驗證碼 (authenticator)
- 在 Kerberos 通訊協定中,這是用戶端所產生,隨附通行證而傳送的資料字串,供伺服器用來認證用戶端的身分。
B
- 後門 (back door)
- 這是一個系統安全上的漏洞。駭客可以利用它來存取機密性資訊,程式設計師也可以利用它來進行維護和測試。
- 布林表示式 (Boolean expression)
- 這是指會得出布林值的表示式。另請參閱布林值 (Boolean value)。
- 布林值 (Boolean value)
- 這是一個可能是 true 或 false 的值,有時分別撰寫為 1 或 0。另請參閱布林表示式 (Boolean expression)。
- 中斷的存取控制 (broken access control)
- 這是對已鑑別使用者強制執行不當限制而造成的漏洞。攻擊者可以運用這些缺失來存取其他使用者的帳戶、檢視機密檔案,或使用未獲授權的函數。
- 中斷的鑑別與階段作業管理 (broken authentication and session management)
- 這是未適當保護帳戶認證和階段作業記號時所發生的問題。攻擊者可能洩漏密碼、金鑰、階段作業 Cookie 或其他記號,且可能假冒其他使用者的身分。
- 強制入侵攻擊 (brute force attack)
- 這種攻擊會利用重複的錯誤嘗試方法,來取得 Web 應用程式有效帳戶的使用者名稱和密碼。如果成功,攻擊者接著即可存取信用卡號碼、加密金鑰、機密文件的設定檔資料,以及用來管理 Web 應用程式的使用者專用權與內容的工具。
- 緩衝區溢位 (buffer overflow)
- 這是一種不當運用的技術,它會改寫記憶體的若干部分,從而變更應用程式的流程。緩衝區溢位是軟體運作異常的常見原因。
C
- CA
- 請參閱「憑證管理中心」。
- 憑證 (憑證)
- 電腦安全中的一種數位文件,它會將公開金鑰連結至憑證擁有人的身分,進而讓憑證擁有人能夠受到鑑別。憑證由憑證管理中心簽發,並由該權限以數位方式簽署。另請參閱「憑證管理中心」。
- 憑證管理中心 (certificate authority, CA)
- 發出數位憑證的授信第三方組織或公司。憑證管理中心通常會驗證獲得唯一憑證授權的個人身分。另請參閱憑證 (certificate)、Secure Sockets Layer。
- 憑證撤銷清冊 (憑證 revocation list, CRL)
- 在排定的到期日之前,已被撤銷的憑證清單。憑證管理中心維護憑證撤消清冊,在 Secure Socket Layer (SSL) 期間,用來確保所包含的憑證尚未撤消。
- 相符性 (compliance)
- 與目標電腦上所建立軟體及安全規格相符的狀態,或者變成這種狀態的過程。
- 配置檔 (configuration file)
- 一個用來指定程式、系統裝置、系統或網路性質的檔案。
- 內容盜用 (content spoofing)
- 這是一種用來愚弄使用者的攻擊技術,讓使用者相信顯示在網站上的特定內容合法,且並非取自外部來源。
- 環境定義 (context)
- 這是掃描期間所擷取之問題的相關資訊。
- Cookie
- 這是伺服器儲存在用戶端機器上,且會在後續階段作業期間存取的資訊。Cookie 可讓伺服器擷取用戶端的特定相關資訊。
- Cookie ID
- 請參閱 Cookie ID (cookie identifier)。
- Cookie ID (cookie identifier)
- 這是指派給掃描期間探索到的 Cookie 的唯一 ID。
- Cookie 中毒 (cookie poisoning)
- 這是用來竊取身分或強制存取階段作業的技術。駭客藉由操作瀏覽器 Cookie 所儲存的資訊來假冒使用者的身分,並取得該使用者資訊的存取權,以用於惡意用途。
- 認證預測 (credential prediction)
- 這是藉由猜測識別特定階段作業或使用者的唯一值,從而強制存取或假冒網站使用者的方法。
- CRL
- 請參閱「憑證撤銷清冊」。
- 跨網站 Scripting (cross-site scripting, XSS)
- 這是一種強迫網站回應用戶端所提供的資料,並在使用者 Web 瀏覽器中執行該資料的攻擊技術。
- 自訂錯誤頁面 (custom error page)
- 這是大部分 Web 伺服器軟體都有的一項特性,可讓使用者將預設錯誤訊息取代成專為了應用程式而設計的自訂訊息。
D
- 儀表板 (dashboard)
- 這是將各來源的資料整合起來的介面,可提供相關的環境定義內資訊的統一顯示畫面。
- 資料加密標準 (Data Encryption Standard, DES)
- 這是為了利用私密金鑰來加密和解密資料而設計的加密演算法。
- 阻斷服務攻擊 (denial-of-service attack, DoS)
- 這是指電腦安全中的一種網路攻擊,它會癱瘓網路上的一或多部主機,使主機無法正常執行它的功能。網路服務會中斷一段時間。
- 拒絕的 Cookie (denied cookie)
- 這是資訊無法儲存及傳回指定網域的 Cookie。
- depth
- 這是指使用者或自動搜索器,從來源頁面到目標頁面需要經歷的點按次數。
- DES
- 請參閱資料加密標準 (Data Encryption Standard)。
- 數位簽章 (digital signature)
- 這是利用私密金鑰來加密的資訊,附加到訊息或物件中,以向收件者保證訊息或物件的確實性和完整性。數位簽章證明訊息或物件的簽名者,就是擁有或有權存取私密金鑰或共用密碼對稱金鑰的實體。
- 目錄檢索 (directory indexing)
- 這是在沒有索引頁面時,可供顯現目錄內容的 Web 伺服器特性。
- DNS
- 請參閱「網域名稱系統」。
- 文件類型宣告 (document type declaration)
- 這是含有文件類型定義之正式規格的標記宣告。
- 網域
- 這是網際網路命名階層的一部分,網域名稱由一系列用句點(點)分隔的名稱(標籤)組成。
- 網域名稱 (domain name)
- 這是在網際網路通訊中,一個主機系統的名稱。網域名稱由一系列用定界字元區隔的子名稱組成,例如,www.hcl.com。另請參閱網域名稱系統 (Domain Name System)。
- 網域名稱系統 (DNS)
- 這是將網域名稱對映至 IP 位址的分散式資料庫系統。另請參閱網域名稱 (domain name)。
- DoS
- 請參閱阻斷服務攻擊。
- 降級的 Cookie (downgraded cookie)
- 這是狀態已改成階段作業 Cookie 的持續性 Cookie。
E
- 編碼攻擊 (encoding attack)
- 這是一種不當運用的技術,藉由變更使用者所提供資料的格式來略過例行性檢查過濾器,從而協助進行攻擊。
- 加密 (encryption)
- 這是在電腦安全中,一種將資料轉換成無法理解之形式的程序,造成無法取得原始資料,或只能利用解密程序來取得原始資料。
- 實體擴充攻擊 (entity expansion attack)
- 這是一種 XML 層次的阻斷服務攻擊,使應用程式伺服器無法回應使用者資料。
- 匯出
- 將現行文件、資料庫或映像檔的副本儲存至另一個應用程式所需要的檔案格式。
- 曝光 (exposure)
- 可使用授權或未授權方法來存取資訊的程度。
- 外部網域 (external domain)
- 具有不同 URL 的網域(直到第一條反斜線),已從起始 URL 開始掃描。
F
- 誤判 (false positive)
- 這是一種被系統歸類為有侵害攻擊(表示網站容易遭到攻擊),但使用者認為事實上無侵害攻擊(非漏洞)的測試結果。
- 檔案
- 這是用指派的名稱來儲存及擷取的相關資料集合。
- 修正建議 (fix recommendation)
- 這是指修正 Web 應用程式,保護它使它不會發生所發現問題的特定技術詳細資料。
- 已修正狀態 (fixed status)
- 這是指出問題已獲處理的狀態。
- 資料夾角色 (folder role)
- 這是一組適用於資料夾內所有工作、報告套件和儀表板的許可權。另請參閱使用者類型 (user type)。
- 強制瀏覽 (forceful browsing)
- 請參閱可預測的資源位置 (Predictable Resource Location)。
- 格式字串攻擊 (format string attack)
- 這類攻擊利用字串格式化類別庫特性來存取其他記憶體空間,從而變更應用程式的流程。直接以使用者提供的資料作為特定 C/C++ 函數(如 fprintf、printf、sprintf)的格式化字串輸入時,會出現漏洞。
G
- GET
- 這是在 HTTP 中,<FORM> 標籤 METHOD 屬性的一個參數,指定在傳送表單資料給伺服器時,瀏覽器會將表單資料附加到 URL 尾端。
H
- 駭客 (hacker)
- 這是指試圖在系統上取得受保護資源之存取權的未獲授權人士。另請參閱攻擊者 (attacker)。
- 危險字元 (hazardous character)
- 這是指用來執行 XSS 或 SQL 注入之類 Web 應用程式攻擊的字元。
- 隱藏參數 (hidden parameter)
- 這是指並不呈現在網頁上的 HTML 表單參數。
- 隱藏的欄位 (hidden field)
- 這是在與程式來回傳送的顯示檔案中,一個不會傳送到顯示畫面的欄位。
- 主機 (Host)
- 這是一部連接至網路,且提供了指向這個網路之存取點的電腦。主機可以是用戶端或伺服器,或同時為用戶端與伺服器。另請參閱伺服器 (server)。
- 主機名稱 (host name)
- 這是在網際網路通訊中,提供給電腦的名稱。主機名稱可能是完整網域名稱(如 mycomputer.city.company.com),也可能是特定子名稱(如 mycomputer)。
I
- 資訊洩漏 (information leakage)
- 這是指網站機密資料外洩,可能有助於攻擊者不當運用應用程式。
- 注入缺失 (injection flaw)
- 這是可讓攻擊者透過 Web 應用程式,將惡意程式碼傳遞給外部系統的缺失。
- 不安全的儲存體 (insecure storage)
- 這是指未受加密功能保護的用戶端硬碟所儲存的資訊和認證。
- 階段作業內偵測 (in-session detection)
- 這是指在 AppScan 收到的回應中,偵測出可供確認仍在登入狀態的階段作業內型樣。
- 階段作業內型樣 (in-session pattern)
- 這是在登入頁面中識別出的型樣,例如登出鏈結,供 AppScan 用來確認它仍在登入狀態。
- 反自動化不足 (insufficient anti-automation)
- 這是指僅應手動執行的程序,網站允許攻擊者以自動化方式來執行,所造成的結果。
- 鑑別不足 (insufficient authentication)
- 這是在網站未適當鑑別攻擊者的存取權,而容許攻擊者存取機密內容或功能(例如 Web 型管理工具)時所發生的漏洞。
- 授權不足 (insufficient authorization)
- 這是在網站容許存取需要存取控制限制之機密內容或功能時,所發生的漏洞。
- 程序驗證不足 (insufficient process validation)
- 這是在網站容許攻擊者略過預期的應用程式步驟序列時,所發生的漏洞。
- 階段作業期限不足 (insufficient session expiration)
- 這是在網站容許攻擊者將舊階段作業 ID 重複用於授權時,所發生的漏洞。
- 內部網域 (internal domain)
- 這是包括在內容掃描中,且出現在起始 URL 清單中的網域。
- 侵入性測試 (invasive test)
- 這是一種選用性測試,若在應用程式上執行,可能造成阻斷服務的狀況。
- 問題 (issue)
- 這是指 Web 應用程式容易遭到攻擊的安全風險,或可能是指未獲授權的使用者能夠看到機密性資訊。
- 問題 ID (issue ID)
- 請參閱問題識別碼 (issue identifier)。
- 問題識別碼 (issue identifier, issue ID)
- 這是指定給在內容掃描期間發現的問題之每一實例的號碼。
J
- 工作擁有者 (job owner)
- 這是負責一項工作整體完成的人或群組。
K
- 金鑰 (key)
- 這是用來進行訊息的數位簽署、驗證、加密或解密的加密運算值。
- 金鑰交換通訊協定 (key exchange protocol)
- 這是控管兩方如何交換用來維護交易安全之金鑰的通訊協定。金鑰交換之後,便可以在傳送者端將資料加密,在接收者端將資料解密。
- 金鑰長度 (key length)
- 這是對於組成金鑰之資料的大小測量,它決定了金鑰的強韌程度。相對於較短的金鑰(48 位元)而言,較長的金鑰,例如 128 位元,比較難破解。
L
- LDAP
- 請參閱輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol)。
- LDAP 注入 (LDAP injection)
- 請參閱輕量型目錄存取通訊協定注入 (Lightweight Directory Access Protocol injection)。
- 受控的 Cookie (leashed cookie)
- 這是一種第一方的環境會接受,第三方的環境會封鎖的 Cookie。
- 輕量型目錄存取通訊協定 (LDAP)
- 這是一種開放性通訊協定,利用 TCP/IP 來提供支援 X.500 模型之目錄的存取功能,不會招致比較複雜的「X.500 目錄存取通訊協定 (DAP)」的資源需求。例如,LDAP 可在網際網路或企業內部網路目錄中,用來尋找人員、組織和其他資源。另請參閱輕量型目錄存取通訊協定注入 (Lightweight Directory Access Protocol injection)。
- 輕量型目錄存取通訊協定注入 (Lightweight Directory Access Protocol injection, LDAP injection)
- 這種攻擊技術會不當運用以使用者提供的輸入建構 LDAP 陳述式的網站。另請參閱輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol)。
- 鏈結
- 在超文字中,這是作者所定義,在兩個資訊節點之間的關聯。
- 登入序列 (login sequence)
- 這是指自動或手動錄製的 URL 序列及使用者輸入,可讓 AppScan 登入 Web 應用程式。
- longdesc
- 請參閱詳細說明 (long description)。
- 詳細說明 (long description, longdesc)
- 這是在 image 元素、frame 元素或 iframe 元素內所用的 HTML 屬性。它將影像說明關聯於將影像放在網頁上的程式碼。另請參閱替代文字 (alternative text)。
M
- 操作 (manipulation)
- 這是指攻擊者基於一或多個內容,對於資料元素、元素群組、動作或動作群組的修改。例如,移除所需要的引數或不按順序執行步驟,而導致修改輸入。
- 手動探索
- 這是一個手動搜索 Web 應用程式的程序,以便存取及測試網站相依於實際使用者輸入的部分。
- MIME 類型
- 這是一種網際網路標準,用來識別通過網際網路傳送的物件類型。
- 多回合掃描 (multiphase scan)
- 這是指由兩個以上的回合所構成的掃描。另請參閱階段 (phase)。
N
- 導覽軌跡 (navigation trail)
- 這是顯示到達現行頁面之路徑的物件。
- 雜訊狀態 (noise status)
- 這個狀態指出問題並不相干,應該不算問題。無關狀態可以表示誤判。
O
- 作業系統接管 (operating system commanding, OS commanding)
- 這是可供透過操作應用程式輸入來執行作業系統指令,從而不當運用網站的技術。
- OS 接管 (OS commanding)
- 請參閱作業系統接管 (operating system commanding)。
P
- P3P
- 請參閱隱私權喜好設定平台 (Platform for Privacy Preferences)。
- P3P 精簡原則 (P3P compact policy)
- 這是一份 3 或 4 字母代碼的清單,這些代碼用來向瀏覽器傳達網頁的隱私權原則。這些代碼指出 Cookie 收集的資訊類型以及資訊的散佈對象。另請參閱隱私權喜好設定平台 (Platform for Privacy Preferences)。
- 參數竄改 (parameter tampering)
- 這是一種用來變更網站 URL 參數的攻擊技術。駭客利用參數竄改來進行詐欺。
- 剖析 (parse)
- 這是指將指令或檔案之類資訊的字串,分解成構成組件。
- 路徑
- 這是 URL 中指向網際網路資源位置的部分。
- 路徑過濾 (path filtering)
- 這是根據集合準則來濾除或併入頁面的程序。
- 路徑遍訪 (path traversal)
- 這是一種攻擊技術,它會變更 URL 中所要求的文件或資源位置,強迫存取在 Web 文件根目錄之外的檔案、目錄和指令。
- 滲透測試 (penetration test)
- 這是一種模擬駭客攻擊來評估 Web 應用程式安全的方法。
- 許可權 (permission)
- 這是指執行各種活動的權限,例如,讀取和寫入本端檔案、建立網路連線,以及載入原生程式碼。
- 持續性 Cookie (persistent cookie)
- 這是儲存在使用者電腦直到過期或遭使用者刪除的 Cookie。持續性 Cookie 會被利用來收集使用者的識別資訊,例如,特定網站的網路漫遊行為或使用者喜好設定。
- 回合 (phase)
- 這是包含掃描中「探索」階段後面接著「測試」階段的一段程序。另請參閱多階段掃描 (multiphase scan)。
- 回合限制 (phase limit)
- 這是指掃描接受的回合數目上限。這個限制是可配置的。
- PKI
- 請參閱公開金鑰基礎架構 (public key infrastructure)。
- 隱私權喜好設定平台 (Platform for Privacy Preferences, P3P)
- 這是可讓網站以標準格式來定義其隱私權實務的「全球資訊網協會 (W3C)」規格。如需相關資訊,請參閱 P3P 專案網站 (http://www.w3.org/P3P/)。另請參閱 P3P 精簡原則 (P3P compact policy)。
- 埠
- 這是指應用程式之間通訊的端點,通常是指邏輯連線。埠提供用來傳送和接收資料的佇列。每個埠都有一個用來識別的埠號。
- POST
- 這是在 HTTP 中,FORM 標籤 METHOD 屬性的一個參數,指定瀏覽器會以有別於相關 URL 的 HTTP 交易,將表單資料傳給伺服器。
- 可預測的資源位置
- 這是一種攻擊技術,可用來揭露隱藏的網站內容和功能。這項攻擊會搜尋在標準位置上不想被公開檢視的內容,例如,暫存檔、備份檔、配置檔或範例檔。
- 隱私標章 (privacy seal)
- 這是一個標誌,表示顯示了這個標誌的網站,其組織符合線上隱私權實務的特定產業標準。
- 私密金鑰
- 在電腦安全中,這是加密金鑰組中,用來搭配公開金鑰演算法使用的秘密的一半。私密金鑰只有擁有者才知道。私密金鑰通常用來數位簽署資料,以及將對應的公開金鑰所加密的資料解密。另請參閱公開金鑰 (public key)。
- 公開金鑰 (public 金鑰)
- 這是加密金鑰組中,用來搭配公開金鑰演算法使用的非秘密的一半。這是提供給每個人的公開金鑰。公開金鑰通常會用於驗證數位簽章及加密資料,而這些加密資料只可使用相對應的私密金鑰解密。另請參閱私密金鑰 (private key)、公開金鑰基礎架構 (public key infrastructure)。
- 公開金鑰基礎架構 (public key infrastructure, PKI)
- 這是一個數位憑證、憑證管理中心及其他註冊管理中心系統,用來驗證及鑑別網路交易相關各方的有效性。另請參閱公開金鑰 (public key)。
R
- 冗餘路徑限制 (redundant path limit)
- 這是指在掃描中能夠掃描相同路徑的次數上限,以便縮短掃描時間及消除重複結果。
- regex
- 請參閱正規表示式 (regular expression)。
- 正規表示式 (regular expression, regex)
- 這是一組用來定義搜尋型樣中之字串或字串群組的字元、meta 字元及運算子。
- 相對路徑 (relative path)
- 這是指開始於現行工作目錄的路徑。
- 補救 (remediation)
- 這是指如何修正問題的建議。
- 風險分析 (risk analysis)
- 這是在 Web 應用程式中所找到的安全問題分析。另請參閱風險評量 (risk assessment)。
- 風險評量 (risk assessment)
- 這是指評估某個動作或實務的好處及結果。另請參閱風險分析 (risk analysis)。
- 風險管理 (risk management)
- 這是指資源的最佳配置,以便在組織內的防禦措施中,達到投資的成本效益。
- 健全 (robust)
- 這與有效處理輸入異常之類異常狀況的系統相關。
- 最高權限 (root authority)
- 這是憑證簽署路徑中的端點。
S
- 掃描 (scan)
- 這是指 AppScan 探索及測試應用程式並提供結果的程序。
- 掃描器
- 在 Web 應用程式內搜尋軟體漏洞的自動化安全程式。
- 掃描排程 (scan schedule)
- 自動執行掃描的時間與頻率。
- 掃描範本 (scan template)
- 這是一個可載入來用於掃描的掃描配置。
- Secure Sockets Layer (SSL)
- 提供通訊隱私的一種安全通訊協定。主從式應用程式可以透過 SSL,以專為防止竊聽、竄改及訊息偽造而設計的方式進行通訊。另請參閱「憑證管理中心」。
- 安全審核 (security audit)
- 這是利用可測量技術對系統或應用程式進行手動或系統化的評量。
- 安全風險 (security risk)
- 這是指威脅可能得逞,因而引發損害。
- server
- 這是提供服務給其他軟體程式或其他電腦的軟體程式或電腦。另請參閱主機。
- 伺服器群組 (server group)
- 這是可以當作一個單元來測試的項目(通常是應用程式)所組成的群組。
- 伺服器端應用程式技術 (server-side application technology)
- 這是可供 Web 伺服器產生動態 Web 內容的技術。
- 伺服器端併入 (server-side include, SSI)
- 這是一種將動態資訊併入傳給用戶端之文件的機能,例如現行日期、檔案的前次修改日期,以及其他檔案的大小或前次修改時間。另請參閱伺服器端併入注入 (server-side include injection)。
- 伺服器端併入注入 (server-side include injection, SSI injection)
- 這是一種攻擊技術,如果 Web 應用程式在使用者提供的資料插入 HTML 檔之前消毒資料失敗,則這種情況會遭不當運用。這使攻擊者有能力執行任意作業系統指令,或在下次處理頁面時併入受限檔案的內容。另請參閱伺服器端併入 (server-side include)。
- 階段作業 Cookie
- 這是以階段作業識別格式來儲存資訊的 Cookie,並不個別識別使用者。它儲存在暫時記憶體中,不會保留到瀏覽器關閉之後。
- 階段作業認證 (session credential)
- 這是一個 Web 伺服器所提供的資料字串,儲存在 Cookie 或 URL 內,用來識別使用者及授權這位使用者執行各種動作。
- 階段作業固定 (session fixation)
- 這是一種攻擊技術,可讓攻擊者固定使用者的階段作業 ID,並假裝成他們的線上身分。
- 階段作業 ID (session ID)
- 請參閱階段作業 ID (session identifier)。
- 階段作業 ID (session identifier, session ID)
- 這是 Web 伺服器所提供的唯一資料字串,在網路通訊中用來識別階段作業,並儲存在 Cookie 或 URL 中。
- 階段作業記號 (session token)
- 這是由瀏覽器視為參數或 Cookie 所送出的 ID,用來讓使用者與 Web 應用程式上之現行階段作業之間產生關聯。
- 嚴重性等級 (severity rating)
- 這是掃描指派給問題的層次,用來表示該問題代表的安全風險。
- SQL
- 請參閱結構化查詢語言。
- SQL 注入 (SQL injection)
- 請參閱結構化查詢語言注入 (Structured Query Language injection)。
- SSI
- 請參閱伺服器端併入 (server-side include)。
- SSI 注入 (SSI injection)
- 請參閱伺服器端併入注入 (server-side include injection)。
- SSL
- 請參閱 Secure Sockets Layer。
- 祕密接管 (stealth commanding)
- 這是一種攻擊技術,透過特洛伊木馬病毒來隱藏危險的指令,執行會使網站受害的惡意或未獲授權的程式碼。
- 結構化查詢語言 (Structured Query Language, SQL)
- 用於定義及操作關聯式資料庫中資料的標準化語言。另請參閱結構化查詢語言注入 (Structured Query Language injection)。
- 結構化查詢語言注入 (Structured Query Language injection, SQL injection)
- 這是藉由操作應用程式輸入來變更後端 SQL 陳述式,從而不當運用網站的攻擊技術。另請參閱結構化查詢語言 (Structured Query Language)。
- 樣式表 (style sheet)
- 請參閱樣式表 (stylesheet)。
- 對稱金鑰加密法 (symmetric key cryptography)
- 這是一個加密系統,訊息的傳送者和接收者分享單一共用的秘密金鑰,用來將訊息加密和解密。
T
- 測試原則 (test policy)
- 這是將掃描限制於特定測試種類與類型的原則。
- 「測試」階段
- 這是將所掃描之應用程式的物件和邏輯,提交到典型、錯誤和模擬惡意使用技術所組成的綜合性密集攻擊,而得到完整安全漏洞詳細目錄的掃描階段。
- 傳輸層 (transport layer)
- 在 OSI 架構中,這是在開放系統之間,以可預期的服務品質來提供流程控制和回復服務的層次。
C
- UNC
- 請參閱一般命名慣例 (Universal Naming Convention)。
- 統一資源定址器 (Uniform Resource Locator, URL)
- 這是指網路(如網際網路)中所能存取之資訊資源的唯一位址。URL 包括用來存取資訊資源之通訊協定的名稱縮寫,以及通訊協定用來尋找資訊資源的資訊。
- 一般命名慣例 (Universal Naming Convention, UNC)
- 結合在一起的伺服器名稱及網路名稱。這些名稱合起來識別網域資源。
- URL
- 請參閱統一資源定址器。
- 使用者類型
- 這是對於特定使用者的能力及他們在資料夾中扮演之角色的說明。使用者類型包括「標準使用者」、「管理者」和「無存取權」。另請參閱資料夾角色 (folder role)。
W
- WCTP
- 請參閱無線通訊轉送通訊協定 (Wireless Communications Transfer Protocol)。
- 低保護性密碼回復驗證 (weak password recovery validation)
- 這是在網站允許攻擊者非法獲得或變更另一位使用者的密碼時,所發生的漏洞。當驗證使用者身分以便回復的必要資訊很容易猜測或規避時,攻擊者便可以阻撓網站的回復機制。
- Web 伺服器 (Web Server)
- 這是能夠處理「超文字傳送通訊協定 (HTTP)」要求的軟體程式。
- 無線通訊轉送通訊協定 (Wireless Communications Transfer Protocol, WCTP)
- 這是與無線系統及雙向無線裝置來回傳遞英數和二進位訊息時,所用的服務類型。
X
- XML 路徑語言 (XML Path Language, XPath)
- 這是專為了唯一識別或處理來源 XML 資料的各個部分而設計的語言,用來搭配 XSLT、XQuery 和 XML 剖析器之類的 XML 相關技術使用。XPath 是一個「全球資訊網協會」標準。另請參閱 XML 路徑語言注入 (XML Path Language injection)。
- XML 路徑語言注入 (XML Path Language injection, XPath injection)
- 這種攻擊技術會不當運用以使用者提供的輸入建構 XPath 查詢的網站。如果應用程式在查詢中內嵌了不安全的使用者輸入,攻擊者就有可能將資料注入查詢中,以有別於程式設計師意圖的方式來剖析新形成的查詢。另請參閱 XML 路徑語言 (XML Path Language)。
- XML 規則語言 (XML Rule Language, XRule)
- 這是掃描應該在網站中搜尋的 XML 字串。
- XPath
- 另請參閱 XML 路徑語言 (XML Path Language)。
- XPath 注入 (XPath injection)
- 請參閱 XML 路徑語言注入 (XML Path Language injection)。
- XRule
- 請參閱 XML 規則語言 (XML Rule Language)。
- XSS
- 請參閱跨網站 Scripting。