Web安全术语——摘自IBM AppScan的帮助文档

使用AppScan安全扫描时，翻看帮助（F1）找到的这个术语表。文档中提到很多Web相关的名词，有助于认识大多数的安全类英文词组，了解最基本的意思。（建议多阅读官方文档，经常会有意外收获）

本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。

〔A〕

安全风险 (security risk)

威胁的潜在成功机会和可能继而发生的损害。

安全审计 (security audit)

系统或应用程序的手动或系统化可测量技术评估。

〔B〕

暴力 (brute force)

一种由程序发起的攻击，会尝试利用每种可能的凭证破坏系统的安全性。

编码攻击 (encoding attack)

通过更改用户所提供数据的格式，以绕过检查健全状态的过滤器，从而为攻击提供帮助的利用方法。

标识 (ID)

请参阅 标识 (identifier, ID)。

标识 (identifier, ID)

用于识别或命名数据元素，也可能表示该数据元素某些属性的一个或多个字符。

表单属性 (form property)

自动填充表单时所使用的值。

并行登录 (concurrent login)

与其他登录同时发生的登录。

不充分反自动化 (insufficient anti-automation)

当 Web 站点准许攻击者自动执行只应手动执行的过程时产生的结果。

〔C〕

CGI

请参阅 公共网关接口。

cookie

服务器存储在客户机上并在后续会话过程中访问的信息。通过 cookie，服务器可以检索有关客户机的特定信息。

CVE

常见漏洞。 一个行业标准列表，其中列出了众所周知的常见信息安全漏洞。

CVSS

常见漏洞评分系统。一个开放式框架，用于对与漏洞相关联的风险进行评分。

CWE

常见缺陷列表。一个行业标准列表，其中列出了众所周知的常见软件缺陷。

操纵 (manipulation)

攻击者基于一个或多个属性，对数据元素、元素组、操作或操作组所做的修改。 例如，通过除去必须的参数或不按顺序执行步骤来修改输入。

测试策略 (test policy)

将扫描限制到测试的特定类别和类型的一项策略。

测试阶段 (Test stage)

扫描的一个阶段，在此期间被扫描的应用程序的对象和逻辑将提交到综合性密集攻击的典型、错误和模拟恶意使用技术，得出安全漏洞的完整清单。

测试请求 (Test request)

在扫描的测试阶段发送到应用程序的请求。测试请求为显示安全漏洞而设计。

测试修订 (test fix)

为特定客户提供的临时修订，用来在所报告问题的响应中进行测试。

〔D〕

DBMS

请参阅 数据库管理系统 (database management system, DBMS)。

DoS

请参阅 拒绝服务攻击 (denial-of-service attack, DoS)。

代理 (proxy)

特定网络应用程序（如 Telnet 或 FTP）从一个网络到另一个网络的应用程序网关，例如，防火墙的代理 Telnet 服务器可执行用户的认证，然后使流量通过代理，就好像它不存在一样。 功能在防火墙而非客户机工作站中执行，这会加重防火墙的负荷。

代码注入 (code injection)

向应用程序中引进新代码的技术。攻击者可使用代码注入来向计算机程序中引进代码，以更改执行过程。

导出 (export)

用来将当前文档、数据库或图像的副本保存为另一应用程序所需的文件格式。

导入 (import)

用来读取对所使用的应用程序来说不为本机格式的文件。

登录序列 (login sequence)

自动或手动记录的 URL 和用户输入序列，AppScan 通过该序列登录到 Web 应用程序中。

电子欺骗 (spoofing)

伪造传输的发送地址以非法进入某个安全系统的技术。

调度程序 (scheduler)

多线程、多过程的后台服务器，旨在基于简单计时方案处理作业的调度和启动。

定制错误页面 (custom error page)

大多数 Web 服务器软件的一项功能，该功能使用户能够将缺省错误消息替换为针对应用程序定制设计的消息。

端口 (port)

用于在应用程序之间进行通信的端点，一般是指逻辑连接。端口提供队列用于发送和接收数据。各端口有一个端口号用于标识。

端口侦听器 (port listener)

可使产品通过侦听超出限制的连接来验证某些测试的机制。

多阶段扫描 (multiphase scan)

包含两个或更多阶段的扫描。

〔E〕