Zwei-Faktor-Authentifizierung bedeutet es wird ein zusätzlicher Authentifizierungsfaktor z.B. eine PIN oder ein Einmalpasswort zur Anmeldung am Nutzerkonto verlangt.
Eine Technik um Angriffe auf Arbeitsspeicherbereiche zu erschweren.
Eine Testumgebung die sich ähnlich verhält wie die Produktivumgebung, in der Tests vor dem go-live ausgeführt werden.
Applikationssicherheit ist fokussiert auf Sicherheitsaspekte und Angriffe auf Anwendungsebene d.h. Applikationskomponenten und -funktionen korrespondierend zur Anwendungsschicht im Open Systems Interconnection Reference Model (OSI Modell). Der Fokus liegt nicht auf Betriebssystem- oder Netzwerkaspekten.
Die Überprüfung der angegebenen Identität eines Nutzers.
Die Nutzung automatisierter Werkzeuge (dynamische/statische Analyse oder beides) die Schwachstellen anhand von Signaturen identifizieren.
Eine Methodik die dazu dient Sicherheitsschwachstellen im Design einer Anwendung zu identifizieren und Gegenmaßnahmen zu entwickeln um die Sicherheitsarchitektur zu verbessern. Dabei werden relevante Gruppen von Angreifern, Sicherheitszonen, Sicherheitsmechanismen sowie technische und fachliche Wertgegenstände identifiziert und einbezogen.
Ist eine Testmethode bei der die Funktionalität einer Komponente oder Anwendung "von außen" ohne Wissen über interne Strukturen und Mechanismen getestet wird.
Eine Sicherheitsschwachstelle die typischerweise in Web-Applikationen vorkommt die das Einschleusen von Client-seitigem Script-Code in den Seiteninhalt zulassen.
Common Weaknesses Enumeration - CWE ist eine Community-basierte Sammlung von allgemeinen Software Security Schwächen. Die Sammlung stellt eine Basis darf zur Identifikation, Mitigierung und zur Vermeidung von Schwachstellen und definiert so eine gemeinsame Sprache für alle Nutzer sowie für Bereitsteller von Security-Werkzeugen.
Dynamische Applikations-Security Tests (DAST) dienen der Erkennung von Sicherheitsschwachstellen einer Applikation zur Laufzeit.
Die Nutzung automatisierter Werkzeuge um zur Laufzeit einer Applikation Sicherheitsschwachstellen auf Basis von Signaturprüfungen zu finden.
Überführung in eine standardisierte Form (Kanonisierung) und Prüfung von Eingabedaten denen nicht vertraut wird z.B. Nutzereingaben oder Request-Parameter.
Eine einzigartige Referenz-Nummer die als Identifikator in einer Software genutzt werden kann.
Kryptographische Schlüssel die auf unsichere Weise direkt im Quellcode oder der Anwendungskonfiguration hinterlegt sind.
Ein Kommunikations-Protokoll für verteilte Informationssysteme auf Basis von Hypermedia und damit die Basis der Datenkommunikation im weltweiten Internet.
Interprozesskommunikation - Mit IPC kommunizieren Prozesse über Betriebssystem-Mechanismen mit dem Kernel und untereinander um Aktivitäten zu koordinieren oder Daten auszutauschen.
Java Bytecode ist der Befehlssatz der Java Virtual Machine (JVM). Ein Bytecode besteht aus einem oder in einigen Fällen zwei Bytes die einen Befehl (OP-Code) repräsentieren sowie optional weitere Bytes die als Parameter für den OP-Code dienen.
Eine Zusammenfassung einzelner Code-Elemente zu einer eigenständigen Einheit mit Zugriffen auf Speicher- und Netzwerkschnittstellen um mit anderen Komponenten zu kommunizieren.
Hardware, Software, und/oder Firmware die kryptographische Algorithmen und/oder erzeugte kryptographische Schlüssel nutzt.
Bösartiger Code der während der Entwicklung, verborgen vor dem Applikationsverantwortlichen, in die Applikation eingebracht wird. Der eingeschleuste Code umgeht dabei gezielt Sicherheitsrichtlinien und ist dadurch nicht vergleichbar mit Malware wie einem Virus oder einem Wurm!
Ausführbarer Code der zur Laufzeit ohne Wissen des Nutzers oder Administrators in die Zielanwendung injiziert wird.
Open Web Application Security Project (OWASP) ist eine weltweite freie, offene und herstellerunabhängige Community mit Fokus auf Verbesserung der Applikationssicherheit. Unsere Mission ist es Applikationssicherheit sichtbar zu machen so dass Einzelpersonen und Organisationen klare und bewußte Entscheidungen über Sicherheitsrisiken treffen können. Mehr unter: https://www.owasp.org/
Personenbezogene Daten sind Daten die genutzt werden können um eine Person direkt oder indirekt zu identifizieren, kontaktieren oder lokalisieren bzw. eine Person in einem Zusammenhang zu identifizieren.
Position-independent executable (PIE) - Positionsunabhängiger Code ist Maschinencode der an einer beliebigen Stelle im primären Speicher ausgeführt werden kann. (unabhängig von der absoluten Speicheradresse)
Public Key Infrastruktur - PKI basiert darauf, dass öffentliche Schlüssel an eine Identität gebunden werden. Die Bindung erfolgt durch einen Registrierungsprozess und das Ausstellen eines Zertifikats durch eine Zertifizierungsstelle, in englisch Certificate Authority (CA).
Eine Person oder ein Team, dass eine Anwendung gegen den OWASP MASVS prüft.
Die technische Prüfung einer Applikation gegen den OWASP MASVS.
Ein Prüfbericht, für eine Applikation, der die Analyseschritte eines Prüfers sowie die Gesamtergebnisse dokumentiert.
Statische Applikations-Security-Tests (SAST) sind eine Reihe von Techniken, die dazu genutzt werden können potentielle Sicherheitsschwachstellen in Quellcode, Bytecode und Binärdateien zu identifizieren. SAST Lösungen analysieren eine Applikation typischerweise zur Entwicklungs- oder Buildzeit jedoch nicht zur Laufzeit.
Software development lifecycle.
Eine Abstraktion des Applikations-Designs einer Anwendung bei der dokumentiert wird an welchen Stellen und in welchem Maße Sicherheitsmechanismen genutzt werden. Darüber hinaus wird beschrieben an welchen Stellen im System sensible Nutzer- und Anwendungsdaten verarbeitet werden.
Die technische Prüfung der Sicherheitsarchitektur einer Applikation.
Die Laufzeitkonfiguration einer Anwendung; enthält Optionen, die die Sicherheitsfunktionen beeinflussen.
Eine Sicherheitsfunktion oder Komponente die Sicherheitsprüfungen durchführt z.B. eine Autorisierungsprüfung oder das Erzeugen eines Eintrags im Audit-Log beim Login eines Administrators.
Eine Technik um Code in datengetriebene Anwendungen einzuschleusen. Dabei werden schadhafte SQL-Anweisungen in Nutzereingaben eingeschleust und in der Datenbank zur Ausführung gebracht.
Single Sign On(SSO) bedeutet, ein Nutzer muss sich an einer Applikation einloggen und ist dann automatisch an weiteren Anwendungen angemeldet. Damit können sich Nutzer u.U. über mehrere unterschiedliche Plattformen, Technologien und Domains anmelden. Zum Beispiel ist man bei Google nach der Nutzeranmeldung automatisch auch für Youtube, Google-Docs und Google-Mail angemeldet.
Kryptographisches Protokoll um die Vertraulichkeit, Integrität und Authentizität von Daten während der Übertragung im Internet abzusichern.
Eine URI (Uniform Resource Identifier) ist eine Zeichenfolge um einen Namen oder eine Webressource zu identifizieren. Ein URL (Uniform Resource Locator) wird oft als Referenz auf eine Webressource genutzt.
Eine Liste erlaubter Operationen zum Beispiel eine Liste erlaubter Buchstaben die zur Eingabe-Validierung genutzt werden soll.
Ein X.509 Zertifikat ist ein digitales Zertifikat das eine international standardisierten PKI-Standard nutzt um nachzuweisen dass ein öffentlicher Schlüssel zu einem Nutzer, einem Computer oder einer Serviceidentität, aufgeführt in dem Zertifikat, gehört.