Skip to content

Latest commit

 

History

History
42 lines (41 loc) · 8.3 KB

0x90-Appendix-A_Glossary.md

File metadata and controls

42 lines (41 loc) · 8.3 KB

Appendix A: Glossar

  • Address Space Layout Randomization (ASLR) – Eine Technik um Angriffe auf Arbeitsspeicherbereiche zu erschweren.
  • Akzeptanztest (UAT) – Eine Testumgebung die sich ähnlich verhält wie die Produktivumgebung, in der Tests vor dem go-live ausgeführt werden.
  • Applikationssicherheit – Applikationssicherheit ist fokussiert auf Sicherheitsaspekte und Angriffe auf Anwendungsebene d.h. Applikationskomponenten und -funktionen korrespondierend zur Anwendungsschicht im Open Systems Interconnection Reference Model (OSI Modell). Der Fokus liegt nicht auf Betriebssystem- oder Netzwerkaspekten.
  • Authentifizierung – Die Überprüfung der angegebenen Identität eines Nutzers.
  • Automatisierte Prüfungen – Die Nutzung automatisierter Werkzeuge (dynamische/statische Analyse oder beides) die Schwachstellen anhand von Signaturen identifizieren.
  • Bedrohungsanalyse – Eine Methodik die dazu dient Sicherheitsschwachstellen im Design einer Anwendung zu identifizieren und Gegenmaßnahmen zu entwickeln, um die Sicherheitsarchitektur zu verbessern. Dabei werden relevante Gruppen von Angreifern, Sicherheitszonen, Sicherheitsmechanismen sowie technische und fachliche Wertgegenstände identifiziert und einbezogen.
  • Black box Tests – Ist eine Testmethode bei der die Funktionalität einer Komponente oder Anwendung "von außen" ohne Wissen über interne Strukturen und Mechanismen getestet wird.
  • Cross-Site Scripting (XSS) – Eine Sicherheitsschwachstelle die typischerweise in Web-Applikationen vorkommt die das Einschleusen von Client-seitigem Script-Code in den Seiteninhalt zulassen.
  • CWE – Common Weaknesses Enumeration - CWE ist eine Community-basierte Sammlung von allgemeinen Software Security Schwächen. Sie dient als gemeinsame Sprache, als Messlatte für Software-Sicherheits-Tools und als Grundlage für die Identifizierung von Schwachstellen sowie für Maßnahmen zur Schadensbegrenzung und -vermeidung.
  • DAST – Dynamische Applikations-Security Tests (DAST) dienen der Erkennung von Sicherheitsschwachstellen einer Applikation zur Laufzeit.
  • Dynamische Prüfungen – Die Nutzung automatisierter Werkzeuge um zur Laufzeit einer Applikation Sicherheitsschwachstellen auf Basis von Signaturprüfungen zu finden.
  • Eingabe-Validierung – Überführung in eine standardisierte Form (Kanonisierung) und Prüfung von Eingabedaten denen nicht vertraut wird z.B. Nutzereingaben oder Request-Parameter.
  • Globally Unique Identifier(GUID) – Eine einzigartige Referenz-Nummer die als Identifikator in einer Software genutzt werden kann.
  • Hartcodierte Schlüssel – Kryptografische Schlüssel die auf unsichere Weise direkt im Quellcode oder der Anwendungskonfiguration hinterlegt sind.
  • Hyper Text Transfer Protocol (HTTP) – Ein Kommunikations-Protokoll für verteilte Informationssysteme auf Basis von Hypermedia und damit die Basis der Datenkommunikation im weltweiten Internet.
  • IPC – Interprozesskommunikation - Mit IPC kommunizieren Prozesse über Betriebssystem-Mechanismen mit dem Kernel und untereinander um Aktivitäten zu koordinieren oder Daten auszutauschen.
  • Java Bytecode – Java Bytecode ist der Befehlssatz der Java Virtual Machine (JVM). Ein Bytecode besteht aus einem oder in einigen Fällen zwei Bytes die einen Befehl (OP-Code) repräsentieren sowie optional weitere Bytes die als Parameter für den OP-Code dienen.
  • Komponente – Eine Zusammenfassung einzelner Code-Elemente zu einer eigenständigen Einheit mit Zugriffen auf Speicher- und Netzwerkschnittstellen um mit anderen Komponenten zu kommunizieren.
  • Kryptographisches Modul – Hardware, Software, und/oder Firmware, die kryptografische Algorithmen und/oder erzeugte kryptografische Schlüssel nutzt.
  • Malicious Code – Bösartiger Code der während der Entwicklung, verborgen vor dem Applikationsverantwortlichen, in die Applikation eingebracht wird. Der eingeschleuste Code umgeht dabei gezielt Sicherheitsrichtlinien und ist dadurch nicht vergleichbar mit Malware wie einem Virus oder einem Wurm!
  • Malware – Ausführbarer Code der zur Laufzeit ohne Wissen des Nutzers oder Administrators in die Zielanwendung injiziert wird.
  • Open Web Application Security Project (OWASP) – Open Web Application Security Project (OWASP) ist eine weltweite freie, offene und herstellerunabhängige Community mit Fokus auf Verbesserung der Applikationssicherheit. Unsere Mission ist es Applikationssicherheit sichtbar zu machen, sodass Einzelpersonen und Organisationen klare und bewusste Entscheidungen über Sicherheitsrisiken treffen können. Mehr unter: https://www.owasp.org/
  • Personenbezogene Daten – Personenbezogene Daten sind Daten die genutzt werden können um eine Person direkt oder indirekt zu identifizieren, kontaktieren oder lokalisieren bzw. eine Person in einem Zusammenhang zu identifizieren.
  • PIE – Position-independent executable (PIE) - Positionsunabhängiger Code ist Maschinencode der an einer beliebigen Stelle im primären Speicher ausgeführt werden kann. (unabhängig von der absoluten Speicheradresse)
  • PKI – Public Key Infrastruktur - PKI basiert darauf, dass öffentliche Schlüssel an eine Identität gebunden werden. Die Bindung erfolgt durch einen Registrierungsprozess und das Ausstellen eines Zertifikats durch eine Zertifizierungsstelle, in Englisch Certificate Authority (CA).
  • Prüfer – Eine Person oder ein Team, dass eine Anwendung gegen den OWASP MASVS prüft.
  • Prüfung zur Applikationssicherheit – Die technische Prüfung einer Applikation gegen den OWASP MASVS.
  • Prüfbericht zur Applikationssicherheit – Ein Prüfbericht, für eine Applikation, der die Analyseschritte eines Prüfers sowie die Gesamtergebnisse dokumentiert.
  • SAST – Statische Applikations-Security-Tests (SAST) sind eine Reihe von Techniken, die dazu genutzt werden können, potenzielle Sicherheitsschwachstellen in Quellcode, Bytecode und Binärdateien zu identifizieren. SAST Lösungen analysieren eine Applikation typischerweise zur Entwicklungs- oder Buildzeit jedoch nicht zur Laufzeit.
  • SDLC – Software development lifecycle.
  • Sicherheitsarchitektur – Eine Abstraktion des Applikations-Designs einer Anwendung bei der dokumentiert wird an welchen Stellen und in welchem Maße Sicherheitsmechanismen genutzt werden. Darüber hinaus wird beschrieben an welchen Stellen im System sensible Nutzer- und Anwendungsdaten verarbeitet werden.
  • Sicherheitsarchitekturanalyse – Die technische Prüfung der Sicherheitsarchitektur einer Applikation.
  • Sicherheitskonfiguration – Die Laufzeitkonfiguration einer Anwendung; enthält Optionen, die die Sicherheitsfunktionen beeinflussen.
  • Sicherheitsmechanismus – Eine Sicherheitsfunktion oder Komponente die Sicherheitsprüfungen durchführt z.B. eine Autorisierungsprüfung oder das Erzeugen eines Eintrags im Audit-Log beim Login eines Administrators.
  • SQL Injection (SQLi) – Eine Technik um Code in datengetriebene Anwendungen einzuschleusen. Dabei werden schadhafte SQL-Anweisungen in Nutzereingaben eingeschleust und in der Datenbank zur Ausführung gebracht.
  • SSO Authentifizierung – Single Sign On(SSO) bedeutet, ein Nutzer muss sich an einer Applikation einloggen und ist dann automatisch an weiteren Anwendungen angemeldet. Damit können sich Nutzer u.U. über mehrere unterschiedliche Plattformen, Technologien und Domains anmelden. Zum Beispiel ist man bei Google nach der Nutzeranmeldung automatisch auch für Youtube, Google-Docs und Google-Mail angemeldet.
  • Transport Layer Security (TLS) – Kryptografisches Protokoll um die Vertraulichkeit, Integrität und Authentizität von Daten während der Übertragung im Internet abzusichern.
  • URI/URL/URL Fragmente – Eine URI (Uniform Resource Identifier) ist eine Zeichenfolge um einen Namen oder eine Webressource zu identifizieren. Ein URL (Uniform Resource Locator) wird oft als Referenz auf eine Webressource genutzt.
  • Whitelist – Eine Liste erlaubter Operationen zum Beispiel eine Liste erlaubter Buchstaben die zur Eingabe-Validierung genutzt werden soll.
  • X.509 Zertifikat – Ein X.509 Zertifikat ist ein digitales Zertifikat das eine international standardisierten PKI-Standard nutzt, um nachzuweisen, dass ein öffentlicher Schlüssel zu einem Nutzer, einem Computer oder einer Serviceidentität, aufgeführt in dem Zertifikat, gehört.