Глоссарий¶
А—П¶
- Администратор
-
Одна из ролей, определяющих права пользователя в системе. Администратору доступна расширенная функциональность: он может выполнять все возможные действия в пределах своей организации.
-
В UNIX‑системах — учётная запись
root, роль суперпользователя с повышенными привилегиями. При выполнении большинства операций по установке SolidPoint требуется запускать команды от имени администратора. - Анализ поверхности атаки
-
Часть процесса сканирования сайта, веб-приложения или API. Анализ поверхности атаки включает в себя набор методов выявления ресурсов и конечных точек анализируемого приложения, импорта описаний API, импорта трафика из SolidWall WAF и другие методы.
- Аналитик
-
Одна из ролей, определяющих права пользователя в системе. Аналитику доступна ограниченная функциональность: чтение, скачивание и переход по ссылкам в пределах своей организации.
- Атака
-
Спланированное воздействие злоумышленников на систему. Целью воздействия могут быть, например, похищение чувствительных данных или нарушение работы системы.
- Атака методом «грубой силы»
-
Один из самых распространённых методов взлома систем, перебор учётных записей. Метод основан на автоматизированном (в редких случаях — ручном) подборе комбинации логина и пароля. Кроме того, злоумышленник может настроить автоподбор ключей шифрования и других данных для доступа к атакуемой системе.
- Брутфорс
- Веб-краулинг
-
Автоматический процесс обхода и анализа содержимого ресурсов веб-приложения. Веб-краулинг может быть: статическим — в таком случае взаимодействие с веб-приложением ограничивается переходом по ссылкам; или динамическим — в этом случае краулер активно взаимодействует с интерфейсом приложения.
- Вектор атаки
-
Обобщённое название инструментов и методов, которые злоумышленники могут применять для атаки на систему. К векторам атаки можно отнести как активные действия нарушителей (например, эксплуатацию уязвимостей атакуемого ресурса), так и сами уязвимости. Человеческий фактор также может быть вектором атаки.
- Взлом
-
В SolidPoint взломом называется имитация атаки на веб-приложение. Цель взлома — протестировать защищённость приложения от определённого метода атаки. В процессе сканирования взлом соответствует фазе обнаружения недостатков.
- Десериализация
-
Процесс, обратный сериализации. Небезопасная десериализация — распространённый вид уязвимости, при котором система пропускает вредоносные материалы от злоумышленника при восстановлении из сериализованных данных.
- Дирбастинг
-
Техника обнаружения содержимого сервера путём слепого перебора серверных точек доступа по словарю.
- Интерфейс командной строки
-
Компонент для реализации взаимодействия пользователя и системы без расширенного графического интерфейса (пользователь набирает команды в терминале).
- Клиентское загрязнение прототипа
-
Метод атаки на систему, при котором злоумышленник вносит изменения в прототипы объектов в коде приложения. Например, прототипы могут быть переписаны для приложений, написанных на языке JavaScript. В результате атаки изменённые свойства прототипа распространяются на все относящиеся к нему объекты.
- Количество запросов в секунду
-
Величина, определяющая частоту воздействия сканера на приложение‑цель. Ограничение количества запросов позволяет снизить влияние сканирования на работу приложения‑цели. При этом чем выше количество запросов в секунду, тем быстрее будет проходить сканирование. Настроить или отключить ограничение можно при создании или редактировании цели сканирования.
- Конечная точка
-
Адрес для взаимодействия приложения с сервером или другим приложением. Конечные точки обычно представлены URL-адресами, которые могут принимать HTTP-запросы и отправлять данные.
- Критичность
-
Предполагаемый уровень опасности обнаруженной уязвимости. Первичную оценку критичности используют, чтобы приоритизировать недостатки в системе. Для уровней критичности приняты следующие обозначения: крайне высокий, высокий, средний, низкий и информационный. Кроме того, из-за специфики критериев, оценка критичности может быть затруднена. В этом случае вы можете увидеть, что уровень критичности для уязвимости не определён.
- Ложноположительное срабатывание
-
Состояние, при котором в системе ошибочно фиксируется вредоносная активность, которой на самом деле не было. Может возникать как из-за неточностей в алгоритмах обнаружения, так и из-за особенностей некоторых легитимных программ, которые придают им сходство с вредоносными.
- Межсайтовый скриптинг
-
Метод атаки, при котором злоумышленник внедряет вредоносные скрипты на доверенные веб-сайты. Результатом такой атаки может стать, например, распространение вирусов или похищение чувствительных данных пользователя. Этим термином также может называться уязвимость веб-сайта или приложения к вышеописанному методу атаки.
- Модуль
-
Программный компонент, который используется при сканировании приложений. Для автоматизированного поиска недостатков и уязвимостей в сканируемой системе могут применяться разные комбинации модулей. Списки модулей для анализа поверхности атаки и обнаружения недостатков и пояснения к ним приведены в разделе Поиск недостатков.
- Неизвестный (пользователь)
-
Одна из ролей, определяющих права пользователя в системе. Неизвестный — это пользователь, который не активирован и не может совершать никаких действий в системе, включая чтение.
- Обнаружение недостатков
-
Часть процесса сканирования сайта или веб-приложения, включающая в себя поиск уязвимостей и выявление слабых мест приложения, на которые рекомендуется обратить внимание. См. также: Взлом.
- Организация
-
Выделенное пространство со своим набором целей и результатов сканирования, доступное для авторизованной группы пользователей.
- Организация по умолчанию
-
Организация, которая является техническим владельцем инсталляции SolidPoint, обслуживает и поддерживает систему.
- Отчёт
-
Отчёт в формате PDF, который содержит информацию о проведённом сканировании, данные о цели, статистику сканирования, сводку по уязвимостям и другие детали.
- Пользователь
-
Одна из ролей, определяющих права пользователя в системе. Пользователю доступна базовая функциональность: он может создавать сканирования и цели.
-
Человек, который взаимодействуют с информационной системой (например, с веб-сайтом или приложением). В некоторых случаях пользователем может быть юридическое лицо, организация.
Р—Я¶
- Сериализация
-
Процесс преобразования информации, который применяется при обмене данными в приложениях и сервисах для более удобного хранения и передачи. Заключается в изменении формата данных (например, строки в байты информации).
- Сканер
-
Программный продукт для сбора и анализа информации о приложении с целью выявления его недостатков и уязвимых мест. Сканер SolidPoint основан на технологии Fuchsia и предназначен для работы с веб‑приложениями и API.
- Сканирование
-
Процедура проверки приложений на наличие потенциальных недостатков и уязвимых мест. Сканирование включает два этапа: анализ поверхности атаки и взлом, или обнаружение недостатков.
-
Результат такой процедуры: информационная сводка, в которой отражены данные о цели, процессе сканирования, сканирующих модулях и их статусах, найденных уязвимостях и другие детали.
- Суперадминистратор
-
Одна из ролей, определяющих права пользователя в системе. Суперадминистратору доступна максимальная функциональность. Роль может принадлежать только пользователям из организации по умолчанию. Пользователь по умолчанию всегда является суперадминистратором.
- Технический отчёт
-
«Сырой» отчёт о сканировании в формате JSON. Позволяет специалистам получить больше информации о сканировании.
- Токен
-
Уникальная последовательность символов, которая используется в качестве безопасного виртуального ключа для подтверждения операций, получения доступа или прав на какие-либо действия в приложениях и сервисах. Чаще всего токен имеет ограниченный срок действия.
- Токен для аутентификации в приложении
-
Уникальный цифровой ключ для подтверждения прав доступа к цели сканирования. При настроенной аутентификации эффективность сканирования будет выше. Подробнее см. раздел Аутентификация в сканируемых приложениях.
- Токен доступа
-
Уникальный цифровой ключ для подтверждения прав пользователя на доступ к интеграционным операциям в SolidPoint: взаимодействию с API и автоматизации процесса сканирования.
- Только для чтения
-
Одна из ролей, определяющих права пользователя в системе. Пользователю с этой ролью доступна ограниченная функциональность: чтение, скачивание и переход по ссылкам в пределах своей организации.
- Уязвимость
-
Обнаруженный при сканировании недостаток системы, который может быть использован злоумышленниками для реализации угроз её безопасности и нарушения работы.
- Цель
-
Сканируемое приложение с известным URL-адресом и набором заданных настроек.
A—Z¶
- Client-Side Prototype Pollution (CSPP)
- Command-Line Interface (CLI)
- Endpoint
-
См. Конечная точка.
- False positive
- Reflected XSS
-
Отражённый межсайтовый скриптинг. Метод атаки, использующий принцип межсайтового скриптинга, при котором вредоносный скрипт содержится в подменённом запросе к сайту и включается в состав ответа от него. В этом случае браузер пользователя (или аналогичное ему клиентское приложение) воспринимает ответ от сайта как данные из доверенного источника и выполняет вредоносный скрипт.
- Requests Per Second (RPS)
- Server-Side Template Injection
-
Инъекция шаблонов на стороне сервера. Метод атаки, при котором злоумышленник встраивает в систему фрагменты шаблонного кода, используя уязвимости веб‑приложения (например, через поля ввода на сайте). После того как система воспримет вредоносный код как часть собственного, злоумышленник может получить контроль над операциями на сервере.
- Shell-инъекция
-
Метод атаки, при котором злоумышленник получает возможность выполнять команды операционной системы на сервере, на котором запущено веб‑приложение. Такая атака становится возможной при недостаточной безопасности ввода, из-за чего происходит передача небезопасных данных пользователя в системную оболочку.
- SQL-инъекция
-
Метод атаки, основанный на внедрении вредоносного скрипта, который обрабатывается атакуемой системой как SQL-запрос. Для внедрения обычно используется форма на веб-сайте или URL-адрес. Если запрос будет выполнен, то злоумышленник может получить контроль над отдельными данными, всей базой данных или даже над сервером.
- Stored XSS
-
Хранимый межсайтовый скриптинг. Метод атаки, использующий принцип межсайтового скриптинга, при котором вредоносный скрипт внедряется на сайт через форму ввода (например, поле для ввода имени или добавления комментария). Результатом такой атаки может стать распространение вирусов или похищение чувствительных данных последующих посетителей атакованного веб‑сайта.
- XSS