Словарь

Отчет об ошибке

Описание исследователя о потенциальной уязвимости в безопасности конкретного продукта или услуги.

CRLF Injection

CRLF, или возврат каретки (CR) подачи строки (LF), представляет собой тип уязвимости, которая возникает, когда пользователю удается вставить CRLF в приложение. Это иногда также называется

HTTP Response Splitting.

Cross Request Site Forgery (межсайтовая

подделка запроса)

CSRF атака происходит, когда вредоносный вебсайт, электронная почта, мгновенные сообщения, приложения и т.д. заставляет веб-браузер пользователя выполнить какое-либо действие на другом сайте, где этот пользователь уже аутентифицирован, или вошёл в систему.

Cross Site Scripting (межсайтовый скриптинг)

XSS, тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода(который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с вебсервером злоумышленника.

HTML Injection

Hypertext Markup Language (HTML) инъекция - ата-

ка на сайт, позволяющая злоумышленнику внедрить любой HTML-код в сайт, не обрабатывая корректно ввод этого пользователя.

Уязвимость загрязнения параметров HTTP

(HTTP Parameter Pollution)

Уязвимость заключается в том, что разные платформы (совокупность веб сервера и языка разработки веб приложения) по разному обрабатывают последовательность параметров HTTP запросов с одинаковыми имена.

Расщепление HTTP ответа

Другое название CRLF Injection, где злоумышленник может вводить заголовки в ответ сервера.

Нарушение целостности памяти / Повреждение памяти

Повреждение памяти это способ осуществления уязвимости, когда вызывается код для выполнения определенного типа необычного или неожиданного поведения. Эффект похож на переполнение буфера, где память подвергается воздействиям, каких не должно быть.

Открытое перенаправление

Открытое перенаправление происходит, когда приложение принимает параметр и перенаправляет пользователя к значению этого параметра без какойлибо валидации и проверки значения этого параметра.

Тестирование на проникновение

Программная атака на компьютерную систему. Программа ищет недостатки системы безопасности, потенциальное получение доступа к функциям компьютера и данных. Может быть законной или одобренной компанией для тестирования или в виде незаконных испытаний для гнусных целей.

Исследователи

Также известные как White Hat Хакеры. Все, кто занимается исследованием и изучением потенциальных угроз безопасности в той или иной форме, включая академических исследователей, инженеровпрограммистов, системных администраторов, и даже случайных технарей.

Группа реагирования

Команда лиц, которые несут ответственность за решение проблем безопасности, обнаруженных в продукте или услуге. В зависимости от обстоятельств, это может быть формальная группа реагирования из организации, группа добровольцев

в проекте с открытым исходным кодом, или независимая группа добровольцев.

Ответственное Раскрытие

Описание уязвимости предоставляет группе реагирования адекватный период времени для устранения уязвимости перед открытой публикацией уязвимости.

Уязвимость

Ошибка в программном обеспечении, которая позволяет злоумышленнику выполнить действие в нарушение выраженной политики безопасности. Ошибка, которая позволяет получить доступ или привилегии является уязвимостью. Конструктивные и архитектурные недостатки программ, а также пренебрежение популярными советами и инструкциями по информационной безопасности также могут квалифицировать как уязвимости.

Координация уязвимости

Процесс, в котором все вовлеченные стороны работают вместе, чтобы решить проблему с уязвимостью. Например, исследование (белого хакера) и компания из HackerOne или исследователь (белый хакер) и open source сообщество.

Раскрытие Уязвимости

Раскрытие уязвимости это предоставление информации о проблеме в компьютерной безопасности.

Не существует универсальной рекомендации о раскрытии уязвимости, но программы поиска уязвимостей за вознаграждение, как правило, имеют рекомендации по раскрытию информации, которые должны быть приняты во внимание.

Белый хакер / White Hat хакер

Белый хакер является этичным хакером, чья работа призвана обеспечить безопасность организации. Вайтхэтами еще называют испытателей и тестировщиков на проникновение. Это противоположность черным хакерам.