Skip to content

Latest commit

 

History

History
42 lines (41 loc) · 8.52 KB

0x90-Appendix-A_Glossary.md

File metadata and controls

42 lines (41 loc) · 8.52 KB

Apéndice A: Glosario

  • Aleatorización del Espacio de Direcciones (ASLR) – Una técnica para hacer más difícil la explotación de errores de corrupción de memoria.
  • Seguridad de Aplicación – La seguridad a nivel de aplicación se centra en el análisis de los componentes que componen la capa de aplicación del modelo de referencia de interconexión de sistemas abiertos (modelo OSI), en lugar de centrarse, por ejemplo, en el sistema operativo subyacente o las redes conectadas.
  • Verificación de la Seguridad de una Aplicación – La evaluación técnica de una aplicación utilizando el OWASP MASVS.
  • Informe de la Verificación de la Seguridad de una Aplicación – Un informe que documenta los resultados generales y el análisis detallado producido por el verificador para una aplicación particular.
  • Autenticación – La verificación de la identidad alegada por el usuario de una aplicación.
  • Verificación Automatizada – El uso de herramientas automatizadas (herramientas de análisis dinámico, estático o ambas) que utilizan firmas de vulnerabilidades para encontrar problemas.
  • Verificación de tipo Back-box – Es un método de verificación de software que examina la funcionalidad de una aplicación sin tener en cuenta sus estructuras internas ni su funcionamiento.
  • Componente – Una unidad de código autónoma, con un disco asociado e interfaces de red que se comunican con otros componentes.
  • Cross-Site Scripting (XSS) – Una vulnerabilidad de seguridad que normalmente se encuentra en las aplicaciones web que permiten la inyección de scripts en el contenido del lado del cliente.
  • Módulo Criptográfico – Hardware, software y/o firmware que implementa algoritmos criptográficos y/o genera claves criptográficas.
  • CWE – CWE es una lista de debilidades comunes de seguridad de software desarrollada por la comunidad. Sirve como un lenguaje común, un instrumento de medición para las herramientas de seguridad de software, y como una línea base para la identificación de debilidades, mitigación y esfuerzos de prevención.
  • Pruebas Dinámicas de Seguridad de Aplicaciones (DAST) – Las tecnologías de Pruebas Dinámicas de Seguridad de Aplicaciones (DAST, por sus siglas en inglés) están diseñadas para detectar indicios de vulnerabilidades de seguridad en una aplicación mientras se está ejecutando.
  • Verificaciones de Diseño – La evaluación técnica de la seguridad de la arquitectura de una aplicación.
  • Verificación Dinámica – El uso de herramientas automatizadas que utilizan firmas de vulnerabilidades para encontrar problemas durante la ejecución de una aplicación.
  • Identificador Único Global (GUID) – Un número de referencia único utilizado como identificador en el software.
  • Hyper Text Transfer Protocol (HTTP) – Un protocolo de aplicación para sistemas de información distribuidos y colaborativos. Es la base de la comunicación de datos para la World Wide Web.
  • Claves Grabadas (Hardcoded keys) – Claves criptográficas que se encuentran almacenadas directamente en el dispositivo.
  • Comunicación Entre Procesos – La comunicación entre procesos (IPC, por sus siglas en inglés) es un método mediante el cual un proceso se comunica con otro a través del kernel del dispositivo para coordinar sus actividades.
  • Validación de la Entrada – La canonización y validación de las entradas de usuario no confiables.
  • JAVA BytecodeJava bytecode es el conjunto de instrucciones de la máquina virtual Java (JVM). Cada bytecode está compuesto por uno, o en algunos casos dos bytes que representan la instrucción (opcode), junto con cero o más bytes para pasar parámetros.
  • Código Malicioso – Código introducido en una aplicación durante su desarrollo que es desconocido para el propietario de la aplicación y que elude la política de seguridad alegada por la misma. ¡No es lo mismo que malware, virus o gusano!
  • Malware – Código ejecutable que se introduce en una aplicación durante el tiempo de ejecución sin el conocimiento del usuario o administrador de la misma.
  • Open Web Application Security Project (OWASP) – OWASP es una comunidad abierta a nivel mundial y sin ánimo de lucro enfocada en mejorar la seguridad del software de aplicaciones. Nuestra misión es hacer que la seguridad de las aplicaciones sea "visible" para que las personas y las organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad de las aplicaciones. Ver: https://www.owasp.org/
  • Información de Identificación Personal (PII) - La información de identificación personal (PII, por sus siglas en inglés) es la información que se puede utilizar por sí sola o junto con otra información para identificar, contactar o localizar a una sola persona, o para identificar a un individuo en su contexto.
  • Ejecutable de Posición Independiente (PIE) – Es un ejecutable que, al ser cargado en memoria, se ejecuta correctamente independientemente de su dirección absoluta.
  • Infraestructura de Clave Pública (PKI) – Una PKI es un acuerdo que vincula claves públicas con las identidades respectivas de las entidades. La vinculación se establece mediante un proceso de registro y expedición de certificados realizado por una autoridad de certificación (CA).
  • Pruebas Estáticas de Seguridad de Aplicaciones (SAST) – Las pruebas estáticas de seguridad de aplicaciones (SAST) son un conjunto de tecnologías diseñadas para analizar el código fuente de la aplicación, el bytecode, los binarios del código y las condiciones del diseño para detectar indicios de vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde "dentro hacia fuera" en un estado reposo, i.e., cuando no se está ejecutando.
  • SDLC – Ciclo de vida de desarrollo software.
  • Seguridad de la Arquitectura – Una abstracción del diseño de una aplicación que identifica y describe dónde y cómo se utilizaran los controles de seguridad, además de la ubicación y sensibilidad de los datos tanto del usuario como de la aplicación.
  • Configuración de Seguridad – La configuración en tiempo de ejecución de una aplicación que afecta a la forma en que se utilizan los controles de seguridad.
  • Control de Seguridad – Una función o componente que realiza un chequeo de seguridad (por ejemplo, una verificación del control de acceso) o que cuando es invocado produce un evento de seguridad (por ejemplo, al generar un registro de auditoría).
  • Inyección SQL (SQLi) – Una técnica de inyección de código utilizada para atacar aplicaciones basadas en datos, en la que se insertan instrucciones SQL maliciosas en un punto de entrada.
  • Autenticación SSO – La Autenticación de inicio de sesión único (SSO, por sus siglas en inglés) se produce cuando un usuario inicia sesión en un cliente y luego se conecta desde otros servicios automáticamente, independientemente de la plataforma, tecnología o dominio que esté utilizando el usuario. Por ejemplo, un inicio de sesión en Google dará acceso automáticamente a los servicios de YouTube, Drive y Gmail.
  • Modelado de Amenazas – Una técnica que consiste en desarrollar arquitecturas de seguridad cada vez más perfeccionadas para identificar agentes de amenazas, zonas de seguridad, controles de seguridad e importantes activos técnicos y empresariales.
  • Seguridad en la Capa de Transporte (TLS) – Protocolos criptográficos que proporcionan seguridad en las comunicaciones a través de Internet.
  • URI y URL – Un Identificador Uniforme de Recursos (URI) es una cadena de caracteres que se utiliza para identificar un nombre o un recurso web. Un Localizador Uniforme de Recursos (URL) se utiliza a menudo como referencia a un recurso.
  • Pruebas de Aceptación de Usuario (UAT) – Tradicionalmente un entorno de pruebas que se comporta como el entorno de producción donde se realizan todas las pruebas de la aplicación antes de su puesta en marcha.
  • Verificador – La persona o equipo que está revisando una aplicación usando los requisitos del MASVS de OWASP.
  • Lista Blanca – Una lista de datos u operaciones permitidas, por ejemplo, una lista de caracteres que permiten realizar la validación de la entrada.
  • Certificado X.509 – Un certificado X.509 es un certificado digital que utiliza el estándar internacional de infraestructura de clave pública (PKI) X.509 ampliamente aceptado para verificar que una clave pública pertenece a la identidad de usuario, dispositivo o servicio contenida en el certificado.