漏洞防禦以及概念
註意概念:
內容分發網絡(CDN):一個托管的、地理分布的服務器網絡,它可以改善網站的文件傳輸和性能。它還包含了諸如DDoS保護之類的安全特性。
持續威脅管理:基於預防技術的適應性和預見性防禦,為及時的事件反應做好準備。
跨站點請求偽造(CSRF):一個惡意的web攻擊,一個攻擊程序迫使一個用戶的瀏覽器在一個用戶當前身份驗證的站點上執行不需要的操作。
跨站點腳本(XSS):通過客戶端腳本攻擊應用程序的一種類型的註入攻擊,通常是JavaScript。
加密貨幣:一種加密的數字交換,其加密技術被用作一種方法,以確保被監管和驗證的安全交易發生。
網絡安全:一種旨在保護計算機、數據和網絡免受潛在攻擊或未經授權的訪問的實踐。
註入攻擊:攻擊者將惡意代碼通過應用程序傳遞到另一個系統,以惡意操縱應用程序。這些攻擊可以通過系統調用、通過shell命令的外部程序或通過查詢語言(SQL)註入的數據庫來攻擊操作系統。
安全套接字層(SSL):一種加密的鏈接,它可以作為一種保護信息安全的手段,它可以在web服務器和私有瀏覽器之間傳遞。
安全設計:安全在SDLC開始時集成。
單點登錄(SSO):用戶或會話身份驗證過程,允許用戶輸入一組憑證,以便訪問由SSO軟件連接的多個應用程序。
SQL註入:一種代碼註入技術,用於攻擊數據驅動的應用程序,在該應用程序中,將邪惡的SQL語句插入到一個輸入字段中,以便執行。
軟件開發中的安全主題常常對不同的團隊有許多不同的含義。為了幫助解答圍繞安全性的問題和困惑,DZone的Editorial團隊編制了一份讀者應該知道的與安全相關的最重要的術語列表。
A
異常檢測:人工智能和深度學習具有檢測異常登錄,網絡內部移動或文件輸出的能力。
應用程序安全性(AppSec):一個可以讓專家專註於應用程序的安全設計方面,並且更加熟悉編程的IT領域。
身份驗證:在請求訪問系統中的資源時,確認用戶身份的一種機制。當用戶通過諸如密碼之類的機制來確認身份時,通常會向用戶授予訪問令牌。
B
比特幣:一種不受任何管理機構控制的數字貨幣(加密貨幣)。
區塊鏈:一個大型的交易數據庫,也被稱為交易分類帳。
C
內容分發網絡(CDN):一個托管的、地理分布的服務器網絡,它可以改善網站的文件傳輸和性能。它還包含了諸如DDoS保護之類的安全特性。
持續威脅管理:基於預防技術的適應性和預見性防禦,為及時的事件反應做好準備。
跨站點請求偽造(CSRF):一個惡意的web攻擊,一個攻擊程序迫使一個用戶的瀏覽器在一個用戶當前身份驗證的站點上執行不需要的操作。
跨站點腳本(XSS):通過客戶端腳本攻擊應用程序的一種類型的註入攻擊,通常是JavaScript。
加密貨幣:一種加密的數字交換,其加密技術被用作一種方法,以確保被監管和驗證的安全交易發生。
網絡安全:一種旨在保護計算機、數據和網絡免受潛在攻擊或未經授權的訪問的實踐。
D
數據過濾:未經授權的數據傳輸。它可以手動執行,也可以通過一個惡意的自動化程序進行。
分散式自治組織(DAO):一個作為風險資本基金形式的組織。它通過智能合同運行,其交易記錄保存在區塊鏈中。
拒絕服務攻擊(DDoS):一種類型的攻擊,它使用多個受攻擊的系統,這些系統被迫訪問一個網站或系統,並使其帶寬過載,從而導致停機。
DevSecOps:將安全性集成到DevOps方法中。
動態應用程序安全測試(DAST):對應用程序安全性的分析,它只監視運行時環境和在其中執行的代碼。它模擬潛在的攻擊,並分析結果。
E
加密:一種對數據進行編碼的方法,使它對沒有解密方法的各方來說是不可讀的。
開發:利用計算機軟件或硬件中的漏洞來產生不良行為的一段代碼。
I
註入攻擊:攻擊者將惡意代碼通過應用程序傳遞到另一個系統,以惡意操縱應用程序。這些攻擊可以通過系統調用、通過shell命令的外部程序或通過查詢語言(SQL)註入的數據庫來攻擊操作系統。
**交互式應用程序安全測試(IAST):**SAST和DAST的組合,通常以代理的形式實現,該代理可以監視攻擊並識別測試運行時環境中的漏洞。
M
惡意軟件:指對計算機或程序造成傷害的軟件。
O
混淆層:設計為在關鍵的代碼部分提供高級別的保護。
開放的web應用程序安全項目(OWASP):一個由企業、教育組織和個人提供的在線社區,致力於為更廣泛的開發社區提供web安全工具、資源、事件等等。
R
勒索軟件:一種惡意軟件,它會限制或阻止對受害者的系統的訪問,直到支付贖金,通常是比特幣這樣的加密貨幣。
風險管理:根據公司或行業的情況,優先考慮最重要的事情。
運行時應用程序自我保護(RASP):一種內置在應用程序中的特性,可以自動檢測和阻止攻擊。
Reentrancy攻擊:不受信任的代碼重新輸入契約並操縱狀態的攻擊。
S
安全套接字層(SSL):一種加密的鏈接,它可以作為一種保護信息安全的手段,它可以在web服務器和私有瀏覽器之間傳遞。
安全設計:安全在SDLC開始時集成。
單點登錄(SSO):用戶或會話身份驗證過程,允許用戶輸入一組憑證,以便訪問由SSO軟件連接的多個應用程序。
SQL註入:一種代碼註入技術,用於攻擊數據驅動的應用程序,在該應用程序中,將邪惡的SQL語句插入到一個輸入字段中,以便執行。
靜態應用程序安全測試(SAST):對應用程序的安全性進行分析,查看應用程序的源代碼、字節碼或二進制代碼,以確定是否有某些部件可以允許攻擊者進行安全性行為。
T
威脅矢量:黑客(或破壞者)可以訪問計算機或網絡服務器的路徑或方法,以便交付有效負載或惡意結果。
圖靈完備:如果沒有考慮到內存或運行時的限制,理論上可以解決任何計算問題。
W
Web應用程序防火墻(WAF):一個基於可定制規則監視、過濾和阻塞HTTP傳輸的設備或應用程序。
Z
零日:軟件制造商或反病毒供應商目前所不知道的一個漏洞。它還引用了一段代碼,允許攻擊者利用一個零日漏洞。
漏洞防禦以及概念