-
-
Notifications
You must be signed in to change notification settings - Fork 433
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Merge pull request #5 from mauariza/patch-3
Update 0x90-Appendix-A_Glossary.md
- Loading branch information
Showing
1 changed file
with
40 additions
and
41 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -1,42 +1,41 @@ | ||
| # Appendix A: Glossary | ||
| # Apêndice A: Glossário | ||
|
|
||
| - **Address Space Layout Randomization (ASLR)** – A technique to make exploiting memory corruption bugs more difficult. | ||
| - **Application Security** – Application-level security focuses on the analysis of components that comprise the application layer of the Open Systems Interconnection Reference Model (OSI Model), rather than focusing on for example the underlying operating system or connected networks. | ||
| - **Application Security Verification** – The technical assessment of an application against the OWASP MASVS. | ||
| - **Application Security Verification Report** – A report that documents the overall results and supporting analysis produced by the verifier for a particular application. | ||
| - **Authentication** – The verification of the claimed identity of an application user. | ||
| - **Automated Verification** – The use of automated tools (either dynamic analysis tools, static analysis tools, or both) that use vulnerability signatures to find problems. | ||
| - **Black Box Testing** – It is a method of software testing that examines the functionality of an application without peering into its internal structures or workings. | ||
| - **Component** – A self-contained unit of code, with associated disk and network interfaces that communicates with other components. | ||
| - **Cross-Site Scripting (XSS)** – A security vulnerability typically found in web applications allowing the injection of client-side scripts into content. | ||
| - **Cryptographic Module** – Hardware, software, and/or firmware that implements cryptographic algorithms and/or generates cryptographic keys. | ||
| - **CWE** – CWE is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. | ||
| - **Dynamic Application Security Testing (DAST)** – DAST technologies are designed to detect conditions indicative of a security vulnerability in an application in its running state. | ||
| - **Design Verification** – The technical assessment of the security architecture of an application. | ||
| - **Dynamic Verification** – The use of automated tools that use vulnerability signatures to find problems during the execution of an application. | ||
| - **Globally Unique Identifier (GUID)** – A unique reference number used as an identifier in software. | ||
| - **Hyper Text Transfer Protocol (HTTP)** – An application protocol for distributed, collaborative, hypermedia information systems. It is the foundation of data communication for the World Wide Web. | ||
| - **Hardcoded Keys** – Cryptographic keys which are stored in the device itself. | ||
| - **IPC** – Inter Process Communications,In IPC Processes communicate with each other and with the kernel to coordinate their activities. | ||
| - **Input Validation** – The canonicalization and validation of untrusted user input. | ||
| - **Java Bytecode** – Java bytecode is the instruction set of the Java virtual machine(JVM). Each bytecode is composed of one, or in some cases two bytes that represent the instruction (opcode), along with zero or more bytes for passing parameters. | ||
| - **Malicious Code** – Code introduced into an application during its development unbeknownst to the application owner, which circumvents the application's intended security policy. Not the same as malware such as a virus or worm! | ||
| - **Malware** – Executable code that is introduced into an application during runtime without the knowledge of the application user or administrator. | ||
| - **Open Web Application Security Project (OWASP)** – The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. See: <https://www.owasp.org/> | ||
| - **Personally Identifiable Information (PII)** – PII is information that can be used on its own or with other information to identify, contact, or locate a single person, or to identify an individual in context. | ||
| - **Position-Independent Executable (PIE)** – A PIE is a body of machine code that, being placed somewhere in the primary memory, executes properly regardless of its absolute address. | ||
| - **Public Key Infrastructure (PKI)** – A PKI is an arrangement that binds public keys with respective identities of entities. The binding is established through a process of registration and issuance of certificates at and by a certificate authority (CA). | ||
| - **Static Application Security Testing (SAST)** – SAST is a set of technologies designed to analyze application source code, byte code and binaries for coding and design conditions that are indicative of security vulnerabilities. SAST solutions analyze an application from the “inside out” in a nonrunning state. | ||
| - **SDLC** – Software development lifecycle. | ||
| - **Security Architecture** – An abstraction of an application's design that identifies and describes where and how security controls are used, and also identifies and describes the location and sensitivity of both user and application data. | ||
| - **Security Configuration** – The runtime configuration of an application that affects how security controls are used. | ||
| - **Security Control** – A function or component that performs a security check (e.g. an access control check) or when called results in a security effect (e.g. generating an audit record). | ||
| - **SQL Injection (SQLi)** – A code injection technique used to attack data driven applications, in which malicious SQL statements are inserted into an entry point. | ||
| - **SSO Authentication** – Single Sign On (SSO) occurs when a user logs in to one Client and is then signed in to other Clients automatically, regardless of the platform, technology, or domain the user is using. For example when you log in in google you automatically login in the youtube , docs and mail service. | ||
| - **Threat Modeling** – A technique consisting of developing increasingly refined security architectures to identify threat agents, security zones, security controls, and important technical and business assets. | ||
| - **Transport Layer Security** – Cryptographic protocols that provide communication security over the Internet | ||
| - **URI and URL** – A Uniform Resource Identifier is a string of characters used to identify a name or a web resource. A Uniform Resource Locator is often used as a reference to a resource. | ||
| - **User Acceptance Testing (UAT)** – Traditionally a test environment that behaves like the production environment where all software testing is performed before going live. | ||
| - **Verifier** – The person or team that is reviewing an application against the OWASP MASVS requirements. | ||
| - **Whitelist** – A list of permitted data or operations, for example a list of characters that are allowed to perform input validation. | ||
| - **X.509 Certificate** – An X.509 certificate is a digital certificate that uses the widely accepted international X.509 public key infrastructure (PKI) standard to verify that a public key belongs to the user, computer or service identity contained within the certificate. | ||
| - **Arquitetura de Segurança** - Uma abstração do planejamento da aplicação que identifica e descreve onde e como os controles de segurança são usados, e também identifica e descreve a localização e sensibilidade dos dados do usuário e da aplicação. | ||
| - **Autenticação SSO** - Autenticação Única (*Single Sign-On* - SSO) ocorre quando um usuário se autentica em um Cliente e então é autenticado em outros Clientes automaticamente, independente da plataforma, tecnologia ou domínio que o usuário está utilizando. Por exemplo, quando você se autentica no Google você será autenticado automaticamente no YouTube, Docs e serviço de email. | ||
| - **Autenticação** - A verificação da identidade reclamada por um usuário da aplicação. | ||
| - ***Bytecode* Java** - *Bytecode* Java é um grupo de instruções da Máquina Virtual Java (JVM). Cada *bytecode* é composto por um, ou em alguns casos dois, *bytes* que representam uma instrução (*opcode*), junto com zero ou mais *bytes* para passagem de parâmetros. | ||
| - **Certificado X.509** - Um certificado X.509 é um certificado digital que utiliza o padrão globalmente reconhecido X.509 de Infraestrutura de Chave Pública (PKI) para verificar que uma chave pública pertence a um usuário, computador ou serviço identificado no certificado. | ||
| - **Chaves *Hardcoded*** - Chaves criptográficas que são armazenadas no próprio dispositivo. | ||
| - **Código Malicioso** - Código introduzido dentro da aplicação durante o seu desenvolvimento sem o consentimento do dono da aplicação, o qual contorna a política de segurança pretendida pela aplicação. Não é a mesma coisa que *malware*, vírus ou *worm*! | ||
| - **Componente** - Uma unidade de código autônoma, associada a um disco e a interfaces de rede que comunicam com outros componentes. | ||
| - **Comunicação Intra-Processos (IPC)** - EM IPC os processos se comunicam uns com os outros e com o *kernel* para coordenar suas atividades. | ||
| - **Configuração de Segurança** - A configuração de execução de uma aplicação que afeta como os controles de segurança são utilizados. | ||
| - **Controle de Segurança** - Uma função ou componente que executa uma checagem de segurança (por exemplo, uma checagem de controle de acesso) ou quando chamado tem resultados com efeitos na segurança (por exemplo gerar um registro de auditoria). | ||
| - **Cross-Site Scripting* (XSS)** - Uma vulnerabilidade de segurança tipicamente encontrada em aplicações *web*, permitindo a injeção de *scripts* do lado do cliente no conteúdo. | ||
| - **CWE** - CWE é uma lista desenvolvida de forma comunitária para falhas comuns de segurança. Ela serve como uma linguagem única, uma medida para ferramentas de segurança de *software* e como embasamento para identificação de falhas e esforços de mitigação e prevenção. | ||
| - **Executável de Posição Independente (*Position Independent Executable* - PIE)** - O PIE é um corpo de código de máquina que, sendo colocado em algum lugar da memória primária, executa corretamente independente do seu endereço absoluto. | ||
| - **Identificador Único Global (GUID)** - Um número único de referência utilizado como identificador em um *software*. | ||
| - **Informação de Identificação Pessoal (*Personally Identifiable Information* - PII)** - PII são informações que podem ser utilizadas sozinhas ou em conjunto com outras informações para identificar, contatar ou localizar uma pessoa específica, ou para identificar um único indivíduo dentro de determinado contexto. | ||
| - **Infraestrutura de Chave Pública (PKI)** - Uma PKI é um arranjo que liga chaves públicas com as respectivas identidades de entidades. A ligação é estabelecida através de um processo de registro e emissão de certificados em e por uma Autoridade Certificadora (CA). | ||
| - **Injeção de SQL (SQLi)** - Uma técnica de injeção de código usada para atacar aplicações orientadas a dados nas quais declarações SQL maliciosas são inseridas em um ponto de entrada. | ||
| - **Lista Branca (*Whitelist*)** - Uma lista de dados ou operações permitidos, por exemplo uma lista de caracteres que são aceitos em uma validação de entradas de usuário. | ||
| - **Malware** - Código executável que é introduzido em uma aplicação em execução sem o conhecimento do usuário ou administrador da aplicação. | ||
| - **Modelagem de Ameaças (*Threat Modeling*)** - Técnica que consiste em desenvolver arquiteturas de segurança cada vez mais refinadas a fim de identificar agentes de ameaça, zonas e controles de segurança, técnicas importantes e ativos de negócio. | ||
| - **Módulo Criptográfico** - *Hardware*, *Software* e/ou *firmware* que implementa algoritmos criptográficos e/ou gera chaves criptográficas. | ||
| - **Projeto Aberto de Segurança de Aplicações *Web* (*Open Web Application Security Project* - OWASP)** - A OWASP é uma comunidade mundial livre e aberta focada na melhoria da segurança de aplicações de *software*. Nossa missão é tornar a segurança de aplicações "visível", então as pessoas e organizações poderão tomar decisões conscientes sobre os riscos de segurança de aplicaçõves. Veja mais: <https://www.owasp.org/>. | ||
| - **Protocolo de Transferência de Hipertexto (HTTP)** - Um protocolo de aplicação para sistemas distribuídos, colaborativos e de informação de hipermídia. Ele é o fundamento para comunicação de dados na Rede Mundial (*World Wide Web* - WWW). | ||
| - **Randomização de Layout de Espaço de Endereço (*Address Space Layout Randomization* - ASLR)** – Uma técnica para tornar mais díficil a exploração de erros de corrupção da memória. | ||
| - **Relatório de Verificação da Segurança de Aplicações** - Um relatório que documenta os resultados gerais e dá suporte a análises produzidas pelo verificador para uma aplicação em particular. | ||
| - **SDLC** - Sigla para Ciclo de Desenvolvimento de *Software* (*Software Development Life Cycle*). | ||
| - **Segurança de Aplicações** - Segurança em nível de aplicação foca na análise de componentes que fazem parte da camada de aplicação no Modelo de Referência de Interconexão de Sistemas Abertos (Modelo OSI), em vez de focar, por exemplo, no sistema operacional subjacente ou nas redes conectadas. | ||
| - **Segurança de Camada de Transporte (*Transport Layer Security* - TLS)** - Protocolos criptográficos que oferecem comunicação segura através da Internet. | ||
| - **Teste Caixa Preta** - É o método de teste de *software* que examina a funcionalidade de uma aplicação sem levar em conta suas estruturas ou funcionamentos internos. | ||
| - **Teste de Aceitação de Usuário (UAT)** - Tradicionalmente um ambiente de testes que se comporta como o ambiente produtivo onde todos os testes de *software* são realizados antes de irem para produção. | ||
| - **Teste Dinâmico de Segurança de Aplicações (DAST)** - Tecnologias DAST são desenhadas para detectar indicativos de condições para uma vulnerabilidade de segurança ocorrer em uma aplicação no seu estado funcional. | ||
| - **Teste Estático de Segurança de Aplicações (SAST)** - SAST é um grupo de tecnologias planejadas para analisar o código fonte, *bytecode* e binários de uma aplicação para identificar condições de codificação e planejamento que sejam indicativos de vulnerabilidades de segurança. Soluções SAST analisam a aplicação "de dentro para fora" em um estado de não-execução. | ||
| - **URI e URL** - Identificador de Recurso Uniforme (*Uniform Resource Identifier* - URI) é uma *string* de caracteres usada para identificar um nome ou recurso *web*. Um Localizador de Recurso Uniforme (*Uniform Resource Locator* - URL) é normalmente utilizado como uma referência a um recurso. | ||
| - **Validação de Entradas** - A sanitização e validação de entradas de usuário não-confiáveis. | ||
| - **Verificação Automatizada** - O uso de ferramentas automatizadas (tanto ferramentas de análise dinâmica, ferramentas de análise estática, quanto ambas) que usam assinaturas de vulnerabilidade para identificar problemas. | ||
| - **Verificação de Segurança de Aplicações** - Avaliação técnica de uma aplicação do ponto de vista do OWASP MASVS. | ||
| - **Verificação Dinâmica** - O uso de ferramentas automatizadas que usam assinaturas de vulnerabilidades para identificar problemas durante a execução de uma aplicação. | ||
| - **Verificador** - Pessoa ou time que está revisando uma aplicação de acordo com os requisitos OWASP MASVS. |