Глоссарий
Уязвимость
Ошибка, допущенная при проектировании, разработке или внедрении вашего веб-приложения, которая может привести к реализации риска информационной безопасности. К таким рискам относятся:
- несанкционированный доступ к данным, например: чтение или модификация данных пользователей;
- отказ в обслуживании;
- нарушение целостности данных;
- и другие.
Уязвимость — это не свойство интернета, это свойство только вашей системы. Таким образом, наличие у вас уязвимостей никак не зависит от трафика, поступающего из интернета, но такой трафик может быть использован для обнаружения уязвимостей, что и реализовано в Валарм.
Смотрите также: список уязвимостей, которые обнаруживает FAST.
Аномалия
Разновидность уязвимости.
Целевое приложение
Веб-приложение или API, которые необходимо проверить на наличие уязвимостей с помощью FAST.
Источник запросов (англ. «request source»)
Инструмент, посылающий HTTP- и HTTPS-запросы к целевому приложению. На основе этих запросов FAST может создать тестовые запросы (см. «базовые запросы»).
Тестовые запросы (англ. «test requests»)
HTTP- и HTTPS-запросы к целевому приложению, сконструированные таким образом, чтобы вызвать эксплуатацию уязвимости. Тестовые запросы порождаются FAST из базовых запросов, удовлетворяющих политике тестирования.
Тест безопасности (англ. «test run»)
Описывает однократный цикл тестирования на уязвимости с помощью FAST.
Тест безопасности позволяет задать для FAST-ноды политику тестирования, которая влияет на то, каким образом и из каких базовых запросов будут создаваться тестовые запросы.
Тест безопасности тесно связан с FAST-нодой посредством токена.
FAST-нода (англ. «FAST node»)
Компонент решения FAST. Нода осуществляет проксирование HTTP- и HTTPS-запросов, порождая тесты безопасности на основе базовых запросов. Помимо проксирования и создания тестовых запрсов, FAST-нода выполняет эти запросы, или, говоря иными словами, посылает тестовые запросы к целевому приложению и проверяет ответ на них для обнаружения уязвимостей в приложении.
См. также: взаимосвязи между компонентами FAST.
Облако Валарм
Компонент решения FAST. Облако предоставляет интерфейс для создания политик тестирования, управления процессом выполнения тестов безопасности и анализа результатов тестов.
Базовые запросы (англ. «baseline requests»)
HTTP- и HTTPS-запросы, поступающие от источника запросов к целевому приложению. На основе этих запросов FAST-нода создаст тестовые запросы (если базовый запрос удовлетворяет политике тестирования).
Все прочие запросы, проксируемые через FAST-ноду, не будут использованы при создании тестов.
См. также:
Политика тестирования
Политика тестирования позволяет задать правила, согласно которым будет производиться поиск уязвимостей. В частности, можно указать, на какие типы уязвимостей необходимо тестировать целевое приложение. Также политика определяет, c какими элементами базового запроса можно работать и каким образом. Эти данные используются FAST-нодой для создания тестовых запросов на основе базовых запросов.
См. также:
Элемент базового запроса
Часть базового запроса.
Примеры элементов:
- HTTP-заголовок,
- тело ответа,
- GET-параметры,
- POST-параметры.
Point
Строка, которая описывает элемент базового запроса. Эта строка состоит из последовательности названий парсеров и фильтров, которые необходимо применить к базовому запросу, чтобы выделить из него требуемые данные.
Более подробная информация содержится в руководстве по point'ам.
Токен (англ. «token»)
Это уникальный секретный идентификатор, который используется для:
- Связывания теста безопасности c FAST-нодой.
- Создания и управления тестом безопасности.
Токен является одним из неотьемлемых свойств FAST-ноды.
См. также: взаимосвязи между компонентами FAST.
Рабочий процесс CI/CD
Русскоязычный эквивалент терминов «CI/CD workflow», «CI/CD pipeline» и других аналогичных терминов.
Задание CI/CD
Русскоязычный эквивалент термина «CI/CD job».
results matching ""
No results matching ""
results matching ""
No results matching ""