Глоссарий

Уязвимость

Ошибка, допущенная при проектировании, разработке или внедрении вашего веб-приложения, которая может привести к реализации риска информационной безопасности. К таким рискам относятся:

  • несанкционированный доступ к данным, например: чтение или модификация данных пользователей;
  • отказ в обслуживании;
  • нарушение целостности данных;
  • и другие.

Уязвимость — это не свойство интернета, это свойство только вашей системы. Таким образом, наличие у вас уязвимостей никак не зависит от трафика, поступающего из интернета, но такой трафик может быть использован для обнаружения уязвимостей, что и реализовано в Валарм.

Смотрите также: список уязвимостей, которые обнаруживает FAST.

Аномалия

Разновидность уязвимости.

Целевое приложение

Веб-приложение или API, которые необходимо проверить на наличие уязвимостей с помощью FAST.

Источник запросов (англ. «request source»)

Инструмент, посылающий HTTP- и HTTPS-запросы к целевому приложению. На основе этих запросов FAST может создать тестовые запросы (см. «базовые запросы»).

Тестовые запросы (англ. «test requests»)

HTTP- и HTTPS-запросы к целевому приложению, сконструированные таким образом, чтобы вызвать эксплуатацию уязвимости. Тестовые запросы порождаются FAST из базовых запросов, удовлетворяющих политике тестирования.

Тест безопасности (англ. «test run»)

Описывает однократный цикл тестирования на уязвимости с помощью FAST.

Тест безопасности позволяет задать для FAST-ноды политику тестирования, которая влияет на то, каким образом и из каких базовых запросов будут создаваться тестовые запросы.

Тест безопасности тесно связан с FAST-нодой посредством токена.

FAST-нода (англ. «FAST node»)

Компонент решения FAST. Нода осуществляет проксирование HTTP- и HTTPS-запросов, порождая тесты безопасности на основе базовых запросов. Помимо проксирования и создания тестовых запрсов, FAST-нода выполняет эти запросы, или, говоря иными словами, посылает тестовые запросы к целевому приложению и проверяет ответ на них для обнаружения уязвимостей в приложении.

См. также: взаимосвязи между компонентами FAST.

Облако Валарм

Компонент решения FAST. Облако предоставляет интерфейс для создания политик тестирования, управления процессом выполнения тестов безопасности и анализа результатов тестов.

Базовые запросы (англ. «baseline requests»)

HTTP- и HTTPS-запросы, поступающие от источника запросов к целевому приложению. На основе этих запросов FAST-нода создаст тестовые запросы (если базовый запрос удовлетворяет политике тестирования).

Все прочие запросы, проксируемые через FAST-ноду, не будут использованы при создании тестов.

См. также:

Политика тестирования

Политика тестирования позволяет задать правила, согласно которым будет производиться поиск уязвимостей. В частности, можно указать, на какие типы уязвимостей необходимо тестировать целевое приложение. Также политика определяет, c какими элементами базового запроса можно работать и каким образом. Эти данные используются FAST-нодой для создания тестовых запросов на основе базовых запросов.

См. также:

Элемент базового запроса

Часть базового запроса.

Примеры элементов:

  • HTTP-заголовок,
  • тело ответа,
  • GET-параметры,
  • POST-параметры.

Point

Строка, которая описывает элемент базового запроса. Эта строка состоит из последовательности названий парсеров и фильтров, которые необходимо применить к базовому запросу, чтобы выделить из него требуемые данные.

Более подробная информация содержится в руководстве по point'ам.

Токен (англ. «token»)

Это уникальный секретный идентификатор, который используется для:

  • Связывания теста безопасности c FAST-нодой.
  • Создания и управления тестом безопасности.

Токен является одним из неотьемлемых свойств FAST-ноды.

См. также: взаимосвязи между компонентами FAST.

Рабочий процесс CI/CD

Русскоязычный эквивалент терминов «CI/CD workflow», «CI/CD pipeline» и других аналогичных терминов.

Задание CI/CD

Русскоязычный эквивалент термина «CI/CD job».

results matching ""

    No results matching ""