● 81 entries

Безопасность приложений

Атака путаницы зависимостей (Dependency Confusion)Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию.
Атрибут sandbox у iframeHTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
Аттестация происхождения (Provenance Attestation)Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
Безголовый браузерВеб-браузер, работающий без графического интерфейса и управляемый программно, часто применяемый для тестирования, скрейпинга и автоматизации задач безопасности.
Безопасное программированиеПрактика написания исходного кода, минимизирующая дефекты безопасности за счёт оборонительных паттернов, языковых правил и общепризнанных руководств.
Безопасность памятиБезопасность памяти — свойство, при котором программа никогда не читает, не пишет и не исполняет память, которую она не выделяла легитимно, что устраняет целые классы уязвимостей.
Безопасность приложений (AppSec)Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.
Безопасность цепочки поставок ПОДисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
Безопасность APIДисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
Безопасность CI/CDСовокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев.
Безопасность GitOpsПрактики безопасности для GitOps-процессов, в которых декларативное желаемое состояние инфраструктуры и приложений хранится в Git и приводится в соответствие с продакшеном автоматическим контроллером.
Безопасность PlaywrightАспекты безопасности Playwright — фреймворка Microsoft для кросс-браузерной автоматизации, управляющего Chromium, Firefox и WebKit с изолированными контекстами.
Безопасность PuppeteerАспекты безопасности Puppeteer — поддерживаемой Google библиотеки Node.js, управляющей Chrome и Chromium через DevTools Protocol для автоматизации и тестирования.
Безопасный жизненный цикл разработки ПО (SSDLC)Жизненный цикл разработки, в котором деятельности по безопасности встроены в каждую фазу — от требований и проектирования до кодирования, тестирования, релиза и эксплуатации.
Валидация вводаСерверная проверка того, что каждый недоверенный ввод соответствует ожидаемому типу, длине, диапазону, формату и набору значений до его обработки приложением.
Возвратно-ориентированное программирование (ROP)ROP — техника эксплуатации с повторным использованием кода, в которой короткие последовательности инструкций, оканчивающиеся RET, выстраиваются в цепочку для выполнения произвольных вычислений без внедрения нового кода.
Воспроизводимые сборкиПрактики сборки, обеспечивающие, что компиляция одного и того же исходного кода с теми же инструкциями даёт побитно идентичный артефакт независимо от времени и места сборки.
Вредоносное расширение браузераДополнение к браузеру, злоупотребляющее правами для кражи учётных данных, перехвата сессий, внедрения рекламы или эксфильтрации данных; часто распространяется через скомпрометированные обновления легитимных расширений.
Закрепление зависимостей (pinning)Практика объявления зависимостей ПО точными версиями, часто с криптографическими хешами, чтобы сборки всегда получали одни и те же артефакты и были устойчивы к вмешательству в цепочку поставок.
Изоляция сайтовАрхитектура безопасности Chromium, помещающая документы разных сайтов в отдельные процессы ОС, чтобы скомпрометированный рендерер не мог читать данные других сайтов.
Кодирование выводаПреобразование недоверенных данных в безопасную для конкретного контекста вывода (HTML, JavaScript, URL, SQL, shell) форму, чтобы они не вырвались и не выполнились как код.
Кука SameSiteАтрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.
Моделирование угрозСтруктурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
Мутационный фаззингСтратегия фаззинга, при которой новые тестовые входы получаются случайной мутацией существующих корректных образцов — инверсия битов, вставка байтов, splice файлов.
Параметризованный запросЗапрос к БД, значения которого передаются отдельно от текста SQL через плейсхолдеры, что не позволяет пользовательскому вводу изменять структуру запроса.
Песочница браузераСлой изоляции уровня ОС, ограничивающий рендерер и вспомогательные процессы браузера, чтобы скомпрометированный веб-код не мог читать файловую систему или другие приложения.
Подмена User-AgentПодделка заголовка User-Agent или сопутствующих Client Hints, чтобы запрос выглядел как отправленный с другого браузера, устройства или ОС, чем в действительности.
Подпись пакетовПрименение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
Политика безопасности контента (CSP)HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
Политика одного источника (SOP)Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
Политика реферера (Referrer Policy)HTTP-заголовок ответа (или meta-тег), задающий, какую часть исходного URL браузер отправляет в заголовке Referer исходящих запросов.
Сайд-канал спекулятивного исполненияКласс микроархитектурных уязвимостей: процессор утекает данные через кеши и предсказатели после спекулятивного исполнения инструкций по путям, которые не должны были выполняться.
Свойства безопасности RustRust обеспечивает безопасность памяти и потоков на этапе компиляции через владение, заимствования и времена жизни, устраняя UAF и гонки данных без сборщика мусора.
Символьное выполнениеМетод анализа программ, при котором код выполняется с символьными входами, а ограничения на путях решаются SMT-решателем для поиска ошибок.
Смешанный контентСитуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.
Стек-канарейкаСтек-канарейка — это секретное значение между локальными буферами функции и сохранённым адресом возврата, позволяющее обнаружить переполнение стека до перехвата управления.
Сценарий злоупотребленияАртефакт требований, описывающий, как злоумышленник намеренно попытается использовать систему во вред пользователям, данным или бизнесу.
Сценарий неправильного использованияНегативный сценарий, описывающий взаимодействия, которые система должна предотвращать; моделируется вместе с обычными use case для совместного анализа.
Теневой стекТеневой стек — отдельный защищённый стек с копиями адресов возврата, позволяющий процессору обнаруживать порчу основного стека и блокировать ROP-атаки.
Требования к безопасностиЯвные и проверяемые утверждения о том, что система обязана и не должна делать для защиты конфиденциальности, целостности, доступности и приватности.
Уязвимости JWTКлассы ошибок в реализации проверки JSON Web Token, позволяющие подделывать токены, повышать привилегии или обходить аутентификацию.
Уязвимость путаницы типовОшибка безопасности памяти, при которой код обращается к объекту через тип, несовместимый с реальной аллокацией, часто давая произвольное чтение, запись или выполнение.
ФаззингАвтоматизированная техника тестирования, при которой программу обстреливают большим числом некорректных, случайных или неожиданных входов для выявления крэшей, повреждений памяти и уязвимостей.
Фаззинг с обратной связью по покрытиюТехника фаззинга, при которой целевой код инструментируется для измерения покрытия, а входы эволюционируют так, чтобы достигать новых веток, что резко повышает эффективность.
Фиксация сессииАтака, при которой злоумышленник подсаживает известный идентификатор сессии в браузер жертвы до входа, так что после аутентификации он остаётся действительным для него.
Флаг куки HttpOnlyАтрибут куки, скрывающий её от JavaScript за счёт запрета доступа через 'document.cookie' и снижающий риск кражи сессии при эксплуатации XSS.
Флаг куки SecureАтрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети.
Формат ELFExecutable and Linkable Format — стандартный бинарный контейнер для исполняемых файлов, объектных модулей и разделяемых библиотек в Linux, BSD и большинстве систем семейства System V Unix.
Формат PEPortable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
Хардкод секретов в кодеВстраивание учётных данных, API-ключей, токенов или криптографического материала прямо в исходный код, конфигурационные файлы или контейнерные образы, откуда их легко обнаружить и использовать злоумышленникам.
Целостность подресурсов (SRI)Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы.
Целостность потока управленияЦелостность потока управления (CFI) ограничивает непрямые вызовы и возвраты программы заранее вычисленным множеством легитимных целей, блокируя ROP и JOP.
Эксплойт через PDFВредоносный PDF, эксплуатирующий ошибки парсера, встроенный JavaScript, шрифты или внешние действия читалки для выполнения кода или эксфильтрации данных.
Языки с безопасной памятьюЯзыки с безопасной памятью, такие как Rust, Go, Swift, Java и C#, исключают пространственные и временные ошибки памяти, на которых строится большинство эксплойтов C и C++.
ASLRASLR случайным образом размещает код, стеки, кучи и библиотеки в памяти при каждом запуске, чтобы атакующий не мог предсказать целевые адреса для эксплойтов.
CAPTCHAТест «вызов-ответ», предназначенный отличать людей от автоматических ботов; обычно ставится на регистрации, входе и отправке форм.
Capture the Flag (CTF)Соревнование по кибербезопасности, в котором команды решают задачи, чтобы получить скрытые токены; используется для обучения, найма и развития сообщества.
CORS (совместное использование ресурсов между источниками)Механизм, обеспечиваемый браузером, позволяющий серверу выборочно ослабить политику одного источника, чтобы JavaScript одного домена мог читать ответы другого.
CosignOpen-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
Cryptographic Bill of Materials (CBOM)Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
DAST (Dynamic Application Security Testing)Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
DEPПредотвращение выполнения данных (DEP, NX или W^X) помечает страницы памяти как неисполняемые, чтобы атакующий не мог запустить шеллкод, внедрённый в стек или кучу.
DevSecOpsКультура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
HTTP-заголовки безопасностиЗаголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.
IAST (Interactive Application Security Testing)Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.
in-totoОткрытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
Intel CETIntel CET (Control-flow Enforcement Technology) — функция процессора, объединяющая аппаратный теневой стек и Indirect Branch Tracking (IBT) для блокировки ROP, JOP и COP.
JIT-распылениеЭксплуатационная техника, использующая JIT-компиляторы для размещения выбранных атакующим исполняемых байтов внутри легально сгенерированных исполняемых страниц памяти.
KASLRKASLR (ASLR ядра) при каждой загрузке случайно сдвигает базу ядра и загружаемые модули, чтобы атакующий не мог использовать жёстко заданные адреса ядра для повышения привилегий.
Mach-OMach-O — это родной формат исполняемых файлов, объектных модулей и разделяемых библиотек macOS, iOS, watchOS и tvOS для бинарников, собранных в инструментарии Apple.
MIME-сниффингПоведение браузера, угадывающее тип содержимого ответа по байтам; может быть использовано для исполнения загруженных файлов как скриптов.
RASP (Runtime Application Self-Protection)Защита, встроенная внутрь работающего приложения и в реальном времени блокирующая вредоносные действия — инъекции, небезопасную десериализацию — на основе контекста выполнения.
robots.txtТекстовый файл в корне сайта, сообщающий добросовестным веб-краулерам, какие пути им можно или нельзя запрашивать; формализован в IETF RFC 9309.
SAST (Static Application Security Testing)Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
SCA (Software Composition Analysis)Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Shift-Left SecurityПодход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.
SigstoreOpen-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
SLSA FrameworkSupply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.
SMEP / SMAPSMEP и SMAP — функции процессора, запрещающие ядру выполнять или обращаться к страницам пользовательского пространства и блокирующие распространённые приёмы локального повышения привилегий.
Software Bill of Materials (SBOM)Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
Trusted TypesБраузерный API и CSP-директива, предотвращающие DOM-XSS: опасные DOM-приёмники принимают только типизированные значения, прошедшие политику, вместо строк.