原文:36 Security Terms You Need to Know
作者:Caitlin Candelmo
翻译:Vincent
译者注:想要了解更多关于网络安全领域的信息?作者在本篇文章里面已经创建了一份需要知道的术语表,以帮助读者了解网络安全领域的相关内容。以下为译文。
软件开发中的安全主题常常对不同的团队有许多不同的含义。为了帮助解答围绕安全性的问题和困惑,DZone的Editorial团队编制了一份读者应该知道的与安全相关的最重要的术语列表。
A
异常检测:人工智能和深度学习具有检测异常登录,网络内部移动或文件输出的能力。
应用程序安全性(AppSec):一个可以让专家专注于应用程序的安全设计方面,并且更加熟悉编程的IT领域。
身份验证:在请求访问系统中的资源时,确认用户身份的一种机制。当用户通过诸如密码之类的机制来确认身份时,通常会向用户授予访问令牌。
B
比特币:一种不受任何管理机构控制的数字货币(加密货币)。
区块链:一个大型的交易数据库,也被称为交易分类帐。
C
内容分发网络(CDN):一个托管的、地理分布的服务器网络,它可以改善网站的文件传输和性能。它还包含了诸如DDoS保护之类的安全特性。
持续威胁管理:基于预防技术的适应性和预见性防御,为及时的事件反应做好准备。
跨站点请求伪造(CSRF):一个恶意的web攻击,一个攻击程序迫使一个用户的浏览器在一个用户当前身份验证的站点上执行不需要的操作。
跨站点脚本(XSS):通过客户端脚本攻击应用程序的一种类型的注入攻击,通常是JavaScript。
加密货币:一种加密的数字交换,其加密技术被用作一种方法,以确保被监管和验证的安全交易发生。
网络安全:一种旨在保护计算机、数据和网络免受潜在攻击或未经授权的访问的实践。
D
数据过滤:未经授权的数据传输。它可以手动执行,也可以通过一个恶意的自动化程序进行。
分散式自治组织(DAO):一个作为风险资本基金形式的组织。它通过智能合同运行,其交易记录保存在区块链中。
拒绝服务攻击(DDoS):一种类型的攻击,它使用多个受攻击的系统,这些系统被迫访问一个网站或系统,并使其带宽过载,从而导致停机。
DevSecOps:将安全性集成到DevOps方法中。
动态应用程序安全测试(DAST):对应用程序安全性的分析,它只监视运行时环境和在其中执行的代码。它模拟潜在的攻击,并分析结果。
E
加密:一种对数据进行编码的方法,使它对没有解密方法的各方来说是不可读的。
开发:利用计算机软件或硬件中的漏洞来产生不良行为的一段代码。
I
注入攻击:攻击者将恶意代码通过应用程序传递到另一个系统,以恶意操纵应用程序。这些攻击可以通过系统调用、通过shell命令的外部程序或通过查询语言(SQL)注入的数据库来攻击操作系统。
**交互式应用程序安全测试(IAST):**SAST和DAST的组合,通常以代理的形式实现,该代理可以监视攻击并识别测试运行时环境中的漏洞。
M
恶意软件:指对计算机或程序造成伤害的软件。
O
混淆层:设计为在关键的代码部分提供高级别的保护。
开放的web应用程序安全项目(OWASP):一个由企业、教育组织和个人提供的在线社区,致力于为更广泛的开发社区提供web安全工具、资源、事件等等。
R
勒索软件:一种恶意软件,它会限制或阻止对受害者的系统的访问,直到支付赎金,通常是比特币这样的加密货币。
风险管理:根据公司或行业的情况,优先考虑最重要的事情。
运行时应用程序自我保护(RASP):一种内置在应用程序中的特性,可以自动检测和阻止攻击。
Reentrancy攻击:不受信任的代码重新输入契约并操纵状态的攻击。
S
安全套接字层(SSL):一种加密的链接,它可以作为一种保护信息安全的手段,它可以在web服务器和私有浏览器之间传递。
安全设计:安全在SDLC开始时集成。
单点登录(SSO):用户或会话身份验证过程,允许用户输入一组凭证,以便访问由SSO软件连接的多个应用程序。
SQL注入:一种代码注入技术,用于攻击数据驱动的应用程序,在该应用程序中,将邪恶的SQL语句插入到一个输入字段中,以便执行。
静态应用程序安全测试(SAST):对应用程序的安全性进行分析,查看应用程序的源代码、字节码或二进制代码,以确定是否有某些部件可以允许攻击者进行安全性行为。
T
威胁矢量:黑客(或破坏者)可以访问计算机或网络服务器的路径或方法,以便交付有效负载或恶意结果。
图灵完备:如果没有考虑到内存或运行时的限制,理论上可以解决任何计算问题。
W
Web应用程序防火墙(WAF):一个基于可定制规则监视、过滤和阻塞HTTP传输的设备或应用程序。
Z
零日:软件制造商或反病毒供应商目前所不知道的一个漏洞。它还引用了一段代码,允许攻击者利用一个零日漏洞。