用語集
この用語集は、AppScan® Standard のユーザー・インターフェースおよび資料で使用されている用語と頭字語について説明します。
A
- アクセス制御 (access control)
- コンピューター・セキュリティーで、ユーザーが権限を持つコンピューター・システムのリソースにしかアクセスできないようにするプロセス。
- アクション・ベースのログイン (action-based login)
- このタイプのログイン再生は、ログイン手順を記録したときに実行されたアクションを再現します。通常、このログイン方法が優先されます。
- アクション・ベースのログイン・プレイヤー (action-based login player)
- 2 つのペインから構成されるブラウザーで、検証およびトラブルシューティングのためにアクション・ベースのログインが再生されます。左側のペインには、アクションのリストが表示され、現在実行されているアクションが強調表示されます。右側のペインには、現行アクションの結果が表示されます。
- アドバイザリー (advisory)
- 脅威や脆弱性に関する情報や分析が含まれている文書。
- アプリケーション・ライフ・サイクル (application lifecycle)
- 開発から実動まで、製品が通る一連のステージ。
- アプリケーション・サーバー (application server)
- アプリケーション・プログラムの実行環境を用意するために分散ネットワークに配置するサーバー・プログラム。
- アプリケーション・テスト (application test)
- 不安定なソフトウェア開発によって生じるアプリケーション・ロジックやアプリケーション問題に重点を置くテストのタイプ。
- アプリケーション・ツリー (application tree)
- ディレクトリーやファイルを含む、Web アプリケーションの構造のツリー表示。
- 攻撃 (attack)
- 権限を持たないユーザーがソフトウェア・プログラムやネットワーク化システムの操作を侵害しようとする行為。「攻撃者 (attacker)」も参照。
- アタッカー (attacker)
- 情報システムに危害を加えたり、一般的なアクセスが意図されていない情報にアクセスしたりすることを試みる、ユーザー (人間またはコンピューター・プログラム)。「ハッカー (hacker)」、「攻撃 (attack)」も参照。
- 認証
- ユーザーの身元またはサーバーの身元を検証するプロセス。
- Authentication Tester
- 総当り攻撃テスト用ユーティリティー。パワー・ツールのいずれかです。ユーザーの Web アプリケーションへのアクセス権限を取得する目的で使用される可能性がある、ユーザー名とパスワードの脆弱な組み合わせを検出する。
- 許可 (authorization)
- ユーザーに付与する、コンピューター・システムと通信したり、コンピューター・システムを使用したりするための権限。
B
- バックエンド (back end)
- データベース管理システムなど、コンピューター・システムのサポート・コンポーネントの集合。
- ブラック・ボックス (black box)
- アプリケーションの内部コードを参照せずにアプリケーションの出力を調査する場合、そのアプリケーションを「ブラック・ボックス」、そのテストを「ブラック・ボックス・テスト」と表現することがあります。これは、内容の見えない「ブラック・ボックス」としてアプリケーションが処理されるためです。「white box」と比較してください。
- リンク切れ (broken link)
- 選択されたときに無効な応答を返すリンク。
- 総当り攻撃 (brute force)
- システムのセキュリティーを侵害するために、考えられるすべての資格情報を試みるプログラムによる攻撃。
- バッファー (buffer)
- 処理中のデータを保持するために使用するメモリーの予約済みセグメント。
- バッファー・オーバーフロー (buffer overflow)
- メモリーの一部を上書きすることによってアプリケーションのフローを変更する攻撃技法。バッファー・オーバーフローは、ソフトウェアの誤動作の一般的な原因である。
C
- 大/小文字の区別 (case-sensitive)
- 大文字と小文字を区別できる機能を指す。
- CGI
- 「コモン・ゲートウェイ・インターフェース (Common Gateway Interface)」を参照。
- 文字エンコード (character encoding)
- 所定のセットに含まれる一連の文字を、自然数、オクテット、電気パルスなど、何か他のものと対応付けるコードで構成される文字セット。エンコードにより、通信ネットワークを介したテキストの保管や伝送が容易になる。
- 下位ノード (child node)
- 別のノードの範囲内にあるノード。
- クライアント (client)
- ネットワークに接続されているユーザーのワークステーション。「ホスト (host)」も参照。
- クライアント・サイド (client-side)
- サーバー上ではなく、クライアント・アプリケーション上で実行される操作を指す。
- コード・インジェクション (code injection)
- アプリケーションに新しいコードを挿入する手法。コード・インジェクションが攻撃者によって使用されて、コンピューター・プログラムにコードが挿入され、実行の流れが変更される可能性がある。
- コモン・ゲートウェイ・インターフェース (CGI) (Common Gateway Interface (CGI))
- HTTP 要求を介して、Web サーバーとアプリケーション・プログラムとの間で情報を受け渡すスクリプトを定義するためのインターネット標準。
- 通信タイムアウト (communication timeout)
- 指定された時間が過ぎた後で、未完了のタスクを意図的に終了すること。
- 同時ログイン (concurrent login)
- 他のログインと同時に発生するログイン。
- 条件パターン (condition pattern)
- 正規表現で、正規表現が定義するパターン。正規表現を使用して、パターンと一致する項目を検出することができる。
- Cookie
- サーバーがクライアント・マシンに保管して、後続のセッションでアクセスする情報。サーバーは、Cookie を使用してクライアントに関する特定の情報を取得できる。
- クロール (crawl)
- インターネットまたはイントラネット上のさまざまな Web ページで情報を検索すること。スキャンの探査のステージ中、AppScan はサイトを「クロール」して構造をマップし、スキャンのテスト・ステージのテストを準備する。
- クロスサイト・スクリプティング (XSS) (cross-site scripting (XSS))
- クライアントが入力したデータを Web サイトで強制的にエコー出力させ、そのデータがユーザーの Web ブラウザーで実行されるようにする攻撃手法。
- カスタム・エラー・ページ (custom error page)
- ユーザーがデフォルトのエラー・メッセージをアプリケーション用にカスタム・デザインされたメッセージに置き換えることができる、ほとんどの Web サーバー・ソフトウェアにある機能。
- CVE
- 共通脆弱性と暴露 (Common Vulnerabilities and Exposures)。公的に認識されている情報セキュリティーの脆弱性と暴露に関する一般名を提供する業界標準のリストです。
- CVSS
- 共通脆弱性評価システム (Common Vulnerability Scoring System)。脆弱性に関連付けられているリスクを評価するためのオープン・フレームワーク。AppScan はバージョン 3.1 の CVSS を使用します。
- CWE
- 共通脆弱性タイプ一覧 (Common Weakness Enumeration)。公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリスト。
D
- データベース管理システム (DBMS) (database management system (DBMS))
- データベースの作成、編成、変更、およびデータベースに格納されているデータへのアクセスを制御する、ソフトウェア・システム。
- データベース・サービス (database service)
- データベースへのデータの保管およびデータベースからのデータの取得を提供するサービス。
- DBMS
- 「データベース管理システム (database management system)」を参照。
- デバッグ・コマンド (debug command)
- ソフトウェア開発プロセス中のプログラミング・エラーの識別に役立つ機能またはコマンド。
- デルタ (delta)
- 2 つのインスタンス間の差異、または増分値。
- サービス拒否攻撃 (DoS) (denial-of-service attack (DoS))
- ネットワークに存在する 1 つ以上のホストをダウンさせることによって、そのホストが自身の機能を正しく実行できないようにする攻撃を指すコンピューター・セキュリティー用語。一定の期間、ネットワーク・サービスが中断される。
- 深さ (depth)
- ソース・ページからターゲット・ページに移動するために、ユーザー、または自動クローラーが実行する必要があるクリックの回数。
- ディレクトリー索引付け (directory indexing)
- インデックス・ページが表示されない場合にディレクトリーの内容を公開する Web サーバーの機能。
- ディレクトリー・トラバーサル (directory traversal)
- 文書ルート・ディレクトリーの先にあるファイルおよびコマンドにアクセスすることによって Web サイトを悪用する場合に使用される手法。
- ドメイン
- 1 つのセキュリティー・データベースの制御下にあるクライアントおよびサーバーのサブネットワーク。
- DoS
- サービス拒否攻撃 (denial-of-service attack) を参照。
- ダンプ・ファイル (dump file)
- レポート・フォーマット設定のないメモリーのコンテンツ。
E
- 組み込みブラウザー (embedded browser)
- AppScan® に組み込まれている Web ブラウザー。スキャンを処理するための専用のツールバーから開く。
- エンコード攻撃 (encoding attack)
- ユーザー提供のデータのフォーマットを変更してサニティー・チェック・フィルターを迂回することで攻撃を助長する悪用手法。
- 暗号化 (encryption)
- オリジナルのデータを取得できないように、または復号化プロセスを使用した場合のみ取得できるように、データを理解不能な形式に変換するプロセス。
- 除外 (exclusion)
- テストの際に値が除外されるパラメーターまたはプロセス。
- 実行可能ファイル (executable)
- 特定の環境で実行する準備が整っているプログラム・ファイル。
- 探査の設定 (Explore setting)
- アプリケーションを AppScan® でどう探査するかを制御するパラメーターを構成する設定。
- 探査ステージ
- テストの前の、アプリケーションのロジックとオブジェクトの識別が実施される AppScan® スキャンのステージ。
- エクスポート (export)
- 現行の文書、データベース、またはイメージのコピーを、別のアプリケーションが必要とするファイル・フォーマットに保存すること。
- 拡張サポート・モード (extended support mode)
- ユーザーが、使用オプションと動作を記録し、ファイルにそのデータを保存してテクニカル・サポートに送ることができるモード。
F
- 誤検出 (false positive)
- AppScan によって検出 (サイトが攻撃に対して脆弱であることを示す) として分類されるが、 ユーザーの判断は実際には検出なし (脆弱ではない) であるテスト結果。
- 推奨される修正 (fix recommendation)
- 検出された問題から Web アプリケーションを保護するための Web アプリケーションの修正に関する具体的な技術上の詳細情報。
- Flash
- Web ブラウザーにムービーやアニメーションをスムーズに表示することを可能にするプログラミング手法。
- フォーム・プロパティー (form property)
- フォームに自動的に入力するときに使用される値。
- 絶対パス名 (full path name)
- ルート・ディレクトリーから始まるディレクトリーおよびファイルのストリングとして表現されるディレクトリーまたはファイルの名前。
G
- グラフィカル・ユーザー・インターフェース (GUI) (graphical user interface (GUI))
- 高解像度グラフィックス、ポインティング・デバイス、メニュー・バーやその他のメニュー、オーバーラップ・ウィンドウ、アイコン、およびオブジェクト - アクション関係を組み合わせることで、実在のシーン (多くの場合はデスクトップ) を視覚的に表現するコンピューター・インターフェースのタイプ。
- GUI
- 「グラフィカル・ユーザー・インターフェース (graphical user interface)」を参照。
H
- ハードコーディング (hard-coding)
- 出力や構成データをプログラムやその他の実行可能オブジェクトのソース・コードに直接埋め込むソフトウェア開発方法。
- 危険な文字 (hazardous character)
- XSS や SQL インジェクションなど、Web アプリケーション攻撃を行うために使用される文字。
- 非表示のパラメーター (hidden parameter)
- Web ページに表示されない HTML フォームのパラメーター。
- ホスト (host)
- ネットワークに接続し、そのネットワークへのアクセス・ポイントを提供するコンピューター。ホストは、クライアントの場合もサーバーの場合もある。クライアントとサーバーが同時にホストになることもある。「クライアント (client)」も参照。
- HTML フォーム要素 (HTML form element)
- テキスト・フィールド、テキスト域フィールド、ドロップダウン・メニュー、ラジオ・ボタン、チェック・ボックスなど、ユーザーがフォームに情報を入力する場合に使用できる要素。
- HTTP 要求 (HTTP request)
- スキャンの探査ステージまたはテスト・ステージのいずれかでサイトに送信される要求。
- HTTP 応答 (HTTP response)
- サーバーから送信される応答。
I
- ID
- 「識別子 (identifier)」を参照。
- 識別子 (ID) (identifier (ID))
- データ要素を識別したり指定したりする場合に使用されるだけでなく、そのデータ要素の特定のプロパティーを示す場合にも使用されることがある、1 つ以上の文字。
- インポート (import)
- 使用中のアプリケーションに固有ではないフォーマットでファイルを読み取ること。
- 業界標準のレポート (Industry Standards report)
- 選択された業界標準に従った、ユーザーの Web アプリケーションで検出された問題と関連情報のレポート。AppScan® の業界標準のレポートには、「SANS トップ 20 (SANS Top 20)」、「OWASP トップ 10 (OWASP Top 10)」、および「WASC 脅威の分類」がある。
- セッション内検出
- まだログインしていることを確認するための、AppScan® が受信する応答でのセッション内パターンの検出。
- セッション内パターン (in-session pattern)
- まだログインしていることを確認するために AppScan® が使用できる、ログアウト・リンクなど、ログイン・ページで識別されるパターン。
- 自動化の停止が不適切 (insufficient anti-automation)
- 手動でのみ実行するべきプロセスをアタッカーが自動化してしまうことが可能な Web サイトの状態。
- 対話型 URL (interactive URL)
- ユーザーが手動で入力するフォームを含む URL。
- 安全でないテスト (invasive test)
- アプリケーションで実行した場合に、サービス妨害状態を招く可能性があるオプション・テスト。
- 問題 (issue)
- Web アプリケーションが脆弱であるセキュリティー上のリスク、 または場合によっては、権限を持たないユーザーが確認できる機密情報。
J
- Java™ アプレット (applet)
- Java™ で作成され、Java™ 仮想マシン (JVM) を使用して Web ブラウザーで実行できるアプレット。
- Java™ 仮想マシン (JVM) (Java virtual machine (JVM))
- コンパイル済みの Java™ コード (アプレットやアプリケーション) を実行するプロセッサーのソフトウェア実装。
L
- リンク抽出 (link extraction)
- Web アプリケーションからリンクを検出および収集するためのコードの構文解析または実行。
- ログイン手順 (login sequence)
- AppScan® がスキャンを行うために Web アプリケーションにログインできるようにするユーザー入力のシーケンス。ログインを手動で記録することが推奨されます。その後、AppScan はスキャン中にログインが必要になるたびにこのシーケンスを再生します。ログイン手順を記録すると、AppScan はアクションと要求の両方を分析します。ログインの再生時には、AppScan は (デフォルトでは) アクション・ベースのログインを再現しよう試みます。これが正常に行われない場合は、要求ベースのログインに戻ります。
M
- 操作 (manipulation)
- 1 つまたは複数のプロパティーに基づくデータ要素、要素のグループ、アクション、またはアクションのグループのアタッカーによる変更。例えば、必須引数を削除したり、ステップを不適切な順序で実行したりすることによる入力の変更。
- マニュアル探査
- Web アプリケーションを手動でクローリングし、サイトの一部 (実際のユーザーからの入力によって異なる) にアクセスしてテストするプロセス。
- メタキャラクター (metacharacter)
- パターン処理の際に特別な意味を持つ ASCII 文字。このような文字を使用して、処理時に突き合わせることができる 1 バイトまたはマルチバイト文字パターンを表す。
- マルチパート要求 (multipart request)
- 複数のコンテンツ・タイプが含まれている要求。不必要なメモリー消費を減らすため、スキャン中にマルチパート要求から一部のコンテンツ・タイプが自動的にフィルターで除外されます。フィルターに掛けられないタイプは、「構成」>「詳細構成」>「マルチパート・コンテンツ・タイプ・フィルター」で設定できます。
- マルチフェーズ・スキャン (multiphase scan)
- 2 つ以上のフェーズで構成されるスキャン。各フェーズには、探査のステージとそれに続くテスト・ステージが含まれる。
- マルチステップ操作 | マルチステップ・シーケンス
- アプリケーションの特定の部分にアクセスするために特定の順序で送信する必要がある複数の要求のシーケンス。(例: アイテムを買い物かごに追加する > 支払詳細を入力する > 注文確認を受け取る。)スキャン構成の一部としてそのようなマルチステップ操作を記録することで、サイトのその部分が確実にスキャンされるようになります。
N
- ネットワーク・サービス (network service)
- ネットワークでデータを送信したり、データの変換を提供したりするサービス。
- 非脆弱
- 脆弱性やセキュリティー上の脅威の影響を受けないネガティブテストや誤検出。
- NTLM
- Windows NT® LAN マネージャーを参照。
- 数値オーバーフロー (numeric overflow)
- 指定された保持スペースを超える算術計算の結果。
P
- 親ノード (parent node)
- 現行ノードを含むノード。
- 構文解析 (parse)
- コマンドやファイルなどの情報のストリングを、その構成パーツに分割すること。
- パス
- インターネット・リソースの場所を指す URL の一部。
- パス・フィルタリング (path filtering)
- 設定された基準に従ってページを除外または包含するプロセス。
- パス・トラバーサル (path traversal)
- URL で要求されている文書やリソースの場所を変更し、Web 文書のルート・ディレクトリーの外部にあるファイル、ディレクトリー、およびコマンドへのアクセスを強制設定する攻撃技法。
- パターン (pattern)
- 1 つ以上の正規表現を使用して、識別するテキストを表す方法。
- PCI
- 「Peripheral Component Interconnect」を参照。
- 侵入テスト (penetration test)
- ハッカーによる攻撃をシミュレートすることで Web アプリケーションのセキュリティーを評価する方法。
- Peripheral Component Interconnect (PCI)
- プロセッサーと接続デバイスの間に高速データ・パスを提供するローカル・バス。
- 許可 (permission)
- ローカル・ファイルの読み取りや書き込み、ネットワーク接続の確立、ネイティブ・コードのロードなどのアクティビティーを実行するための権限。
- 個人識別番号 (PIN) (personal identification number (PIN))
- 暗号サポートで、組織が個人に割り当て、身元の証明として使用する一意の番号。通常、PIN は、金融機関から顧客に割り当てられる。
- フェーズ (phase)
- 探査ステージの後にテスト・ステージが続くスキャンのプロセス。
- フェーズ限度 (phase limit)
- スキャンで認められるフェーズの最大数。この限度は構成可能である。
- PIN
- 個人識別番号 (Personal Identification Number)。
- プラットフォーム (platform)
- プログラムが実行される稼働環境を構成するオペレーティング・システムとハードウェアの組み合わせ。
- port
- アプリケーションどうしの通信の終点。通常は論理接続を指す。ポートには、データの送受信のためのキューが用意されている。各ポートには識別のためのポート番号がある。
- ポート・リスナー (port listener)
- 帯域外の接続を listen することによって製品が特定のテストを検証することを可能にするメカニズム。
- 予測可能なリソースの位置
- Web サイトの隠しコンテンツや隠し機能を見つけ出すための攻撃技法。公開表示を意図していないコンテンツ (一時ファイル、バックアップ・ファイル、構成ファイル、サンプル・ファイルなど) を標準的な場所から探し出す攻撃。
- 権限拡張 (privilege escalation)
- 特権リソースにアクセス許可が不十分なユーザーがアクセス可能であるかどうかをテストするために、さまざまなユーザー特権を使用して実行されたスキャンを参照するプロセス。
- プロンプト (prompt)
- 情報またはユーザー処置を求めるメッセージまたは表示シンボル。ユーザーは、プログラムが継続できるように応答する必要がある。
- プロキシー (proxy)
- あるネットワークと別のネットワークの間にある、Telnet、FTP など、特定のネットワーク・アプリケーション用のアプリケーション・ゲートウェイ。例えば、ファイアウォールのプロキシー Telnet サーバーは、ユーザーの認証を実行した後、まるでそこに存在していないかのようにトラフィック・フローにプロキシーを通過させる。機能は、クライアント・ワークステーションではなく、ファイアウォールで実行されるので、ファイアウォールの負荷の増加を招く。
R
- 冗長なパスの制限 (redundant path limit)
- スキャン時間を削減し、重複する結果を除くために、1 回のスキャンで同一パスをスキャンすることができる最大回数。
- regular expression | regexp
- 検索パターンでストリングまたはストリングのグループを定義する、文字、メタ文字、および演算子の集合。
- コンプライアンス・レポート (regulatory compliance report)
- 選択された規制または法定標準に準拠していない、Web アプリケーションで検出された問題のレポート。規制には、カナダ、欧州連合、日本、英国、およびアメリカ合衆国の法令、法案、法規、および MasterCard と Visa の規則が含まれる。カスタムのコンプライアンス・レポート・テンプレートを作成することもできる。
- 相対パス (relative path)
- 現行作業ディレクトリーから始まるパス。
- 修復 (remediation)
- 問題の解決方法に対する提案。
- 要求ベースのログイン (request-based login)
- このタイプのログイン再生は、ログイン手順を記録したときに送信された要求を再現します。
- 制限 (restriction)
- スキャンをリスト内の URL のみに制限するフィルターのタイプ。
- 結果エキスパート (Result Expert)
- CVSS 設定、画面キャプチャー、およびその他の情報を、スキャン結果の「問題情報」タブに追加するために、スキャンの実行後に実行できるオプション機能。
- リバース・エンジニアリング (reverse engineer)
- デバイスまたはシステムの設計、構成、および操作の詳細を把握するためにそのデバイスまたはシステムを分析すること。
- リスク分析 (risk analysis)
- Web アプリケーションで検出されたセキュリティー問題の分析。
- リスク評価 (risk assessment)
- アクションまたはシナリオのメリットおよび結果の評価。
- リスク管理 (risk management)
- 組織内で防止策への費用効果の高い投資を実現するためのリソースの最適な割り振り。
- ロール (role)
- 許可の集合。
S
- サニタイズ (sanitize)
- Web アプリケーション・セキュリティーで、使用する前に、悪影響のある文字や危険な文字をユーザー入力から取り除くこと。
- スキャン (scan)
- AppScan® がアプリケーションを探査およびテストして結果を提供するプロセス。
- スキャン構成
- ユーザーのアプリケーション/サービス、環境、および選択されたスキャン・メソッドを定義する、AppScan® 設定の集合。
- スキャン・テンプレート (scan template)
- スキャンに使用するためにロードすることができるスキャン構成。
- スケジューラー (scheduler)
- 単純な時間計画に基づいて、ジョブのスケジューリングと起動を処理するように設計された、マルチスレッド、マルチプロセスのバックグラウンド・サーバー。
- セキュリティー監査 (security audit)
- システムやアプリケーションの手動によるまたは体系的な測定可能の技術審査。
- セキュリティー上のリスク (security risk)
- 結果的に発生するおそれのある脅威や損傷の潜在的な影響。
- シーケンス (sequence)
- 記録された URL のリスト。
- session
- ネットワーク上の 2 つの端末、ソフトウェア・プログラム、またはデバイス間の論理接続または仮想接続。この接続により、2 つの要素は通信したり、データを交換したりすることができる。「トランザクション (transaction)」も参照。
- セッション証明書 (session credential)
- Web サーバーが提供し、Cookie や URL 内に保管され、ユーザーを識別して、そのユーザーにさまざまなアクションを実行する権限を与える、データのストリング。
- セッションの固定 (session fixation)
- アタッカーがユーザーのセッション ID を固定化して、そのオンライン ID を乗っ取る攻撃技法。
- セッション・ハイジャック (session hi-jacking)
- 攻撃者によるユーザーのセッションのセキュリティー侵害。攻撃者は、この盗んだセッションを再利用してユーザーのふりをすることができる。
- セッション ID (session ID)
- 「セッション識別子 (session identifier)」を参照。
- セッション ID (session identifier)
- 攻撃者によるユーザーのセッションのセキュリティー侵害。攻撃者は、この盗んだセッションを再利用してユーザーのふりをすることができる。
- セッション・トークン (session token)
- ブラウザーからパラメーターまたは Cookie として送信される ID であり、Web アプリケーションではその ID によってユーザーと現行セッションの関連付けが行われる。「セッション ID」、「トランジエント・トークン」も参照。
- 重大度の格付け (severity rating)
- スキャンによって問題に割り当てられたレベル。その問題が表すセキュリティー上のリスクを示す。
- シェル (shell)
- ユーザーとオペレーティング・システムの間のソフトウェア・インターフェース。通常、シェルは、コマンド行シェル (オペレーティング・システムへのコマンド行インターフェースを提供する) と、グラフィカル・シェル (グラフィカル・ユーザー・インターフェース (GUI) を提供する) の 2 つのカテゴリーのいずれかに分類される。
- ソース・コード (source code)
- 人間が読み取ることのできるフォーマットのコンピューター・プログラム。ソース・コードは、コンピューターで使用できるバイナリー・コードに変換される。
- スプーフィング (spoofing)
- セキュアなシステムに不正侵入するために、伝送用の送信アドレスを偽装する手法。
- SQL
- 「構造化照会言語 (Structured Query Language)」を参照。
- SQL 注入 (SQL injection)
- 「構造化照会言語インジェクション (Structured Query Language injection)」を参照。
- ステージ (stage)
- AppScan® がサイトの探査またはテストのいずれかを行うスキャン・フェーズの一部。
- ステートレス・プロトコル (stateless protocol)
- コマンド間の関係を維持しないプロトコル。HTTP はステートレス・プロトコルの一例。
- 構造化照会言語 (SQL) (Structured Query Language (SQL))
- リレーショナル・データベースのデータを定義および操作するための標準化言語。
- 構造化照会言語注入 (SQL 注入) (Structured Query Language injection (SQL injection))
- アプリケーション入力を操作してバックエンドの SQL ステートメントを変更することによって、Web サイトを不正に利用するための攻撃技法。
- 構文
- コマンドまたはステートメントの構造についての規則。
T
- テスト・フィックス (test fix)
- 報告された問題に対応して特定のユーザーに提供される、テストのための一時的なフィックス。
- テスト・ポリシー (test policy)
- 特定のカテゴリーやタイプのテストにスキャンを限定するポリシー。
- テスト要求 (Test request)
- スキャンのテスト・ステージでアプリケーションに送信される要求。テスト要求の目的は、セキュリティーの脆弱性を明らかにすることである。
- テスト・ステージ
- スキャンするアプリケーションのオブジェクトおよびロジックに対して、 広範囲に及ぶ大量の、典型的で、エラーがあり、悪意をシミュレートした使用法を適用し、 それにより、セキュリティー上の脆弱性をくまなく調査する、スキャンのステージ。
- スレッド (thread)
- プロセスを制御するコンピューター命令のストリーム。一部のオペレーティング・システムでは、スレッドはプロセスにおける操作の最小単位である。複数のスレッドを並行して実行し、異なるジョブを実行することもできる。
- 脅威 (threat)
- ウィルスの展開や不正なネットワーク侵入などの、セキュリティー問題、または有害な行為。
- 脅威の分類
- セキュリティー問題のグループ。脅威クラスごとに、数多くの特定のテストがあり、テストごとに、数多くのバリアントがある。WASC 脅威の分類は、Web サイトや Web サイトのデータ、Web サイト・ユーザーのセキュリティー侵害の要因となり得る弱点および攻撃を分類する協調的な取り組みである。AppScan Standard では、すべての WASC 脅威の分類が使用されるわけではなく、WASC 分類を持たない追加の分類 (例:サーバーサイド・リクエスト・フォージェリ) がある。WASC 脅威の分類の詳細については、以下の Web サイトを参照。http://projects.webappsec.org/w/page/13246978/Threat%20Classification
- トランザクション (transaction)
- (アプリケーションに対する) 要求、およびその要求によって生成された (アプリケーションからの) 応答。
- トランジエント・トークン (transient toke)
- 値が変わるトークン (通常はセッション・トークン)。有効期限が切れたトランジエント・トークンを送信すると、AppScan® がテスト中のアプリケーションからログアウトされるため、トランジエント・トークンを最新の状態に保っておく必要がある。「セッション・トークン (session token)」も参照。
U
- UI
- ユーザー・インターフェースについては、「グラフィカル・ユーザー・インターフェース」を参照。
- Uniform Resource Locator (URL)
- インターネットなどのネットワークでアクセスできる情報リソースの固有のアドレス。URL には、情報リソースにアクセスするために使用するプロトコルの省略名と、そのプロトコルに基づいて情報リソースの場所を特定するための情報を組み込む。
- UNIX®
- マルチユーザー環境におけるマルチプログラミングを特徴とする移植性の高いオペレーティング・システム。UNIX® オペレーティング・システムは、本来はミニコンピューターでの使用を目的として開発されたものだったが、メインフレームやマイクロコンピューター向けに改変された。AIX® オペレーティング・システムは、UNIX® オペレーティング・システムの IBM の実装である。
- URL
- Uniform Resource Locator を参照。
- ユーザー定義テスト (user-defined test)
- 自動的に作成されて実施されるテスト以外の、ユーザーによって作成されるテスト。
V
- 検証
- 特定のテストがその目標の達成に成功したか、失敗したかを確認するプロセス。
- 脆弱性 (vulnerability)
- オペレーティング・システム、システム・ソフトウェア、またはアプリケーション・ソフトウェア・コンポーネントでの機密漏れ。
W
- Web アプリケーション (Web application)
- Web ブラウザーからアクセス可能であり、例えば、ユーザーがデータベースを照会できるようにすることによって、情報の静的な表示以外の機能を提供するアプリケーション。Web アプリケーションの一般的なコンポーネントとしては、HTML ページ、JSP ページ、サーブレットなどがある。
- Web ブラウザー (Web browser)
- Web サーバーに要求を送り、そのサーバーが返す情報を表示する、クライアント・プログラム。
- Web コンテンツ (Web content)
- Web サイトを構成するファイルおよびその他のリソース。Web コンテンツは、イメージ・ファイル、音声ファイル、HTML ファイル、JSP ファイル、スタイル・シート、データベース項目など、Web サイト上に表示できるあらゆるもので構成することができる。
- Web セキュリティー (Web security)
- WWW、HTTP、および Web アプリケーション・ソフトウェアに関連する機密保護の理論および実践。
- Web サーバー (Web server)
- Hypertext Transfer Protocol (HTTP) 要求に対応するサービスを提供できるソフトウェア・プログラム。
- Web サービス (Web service)
- 特定のタスクを実行し、HTTP や SOAP などのオープン・プロトコルを介してアクセス可能なアプリケーション。
- Web サービス記述言語 (WSDL) (Web Services Description Language (WSDL))
- ドキュメント指向またはプロシージャー指向のいずれかの情報を含むメッセージに基づいて動作する一連のエンドポイントとしてネットワーク・サービスを記述するための XML ベースの仕様。
- white box
- white box スキャンは、静的分析の場合の JavaScript コードなど、実際のコードを分析する。「black box」と比較してください。
- Windows NT® LAN マネージャー (NTLM) (LAN Manager (NTLM))
- 認証用のさまざまな Microsoft® ネットワーク・プロトコルで使用されるプロトコル。
- WSDL
- 「Web サービス記述言語 (Web Services Description Language)」を参照。
X