#PBKDF2: PBKDF2 là một thuật toán được sử dụng để tạo ra các khóa. Thuật toán này không được tạo ra nhằm mục đích băm mật khẩu, nhưng nhờ có đặc tính chậm, nó trở nên khá phù hợp với chức năng này. Khóa kết quả được tạo ra (HMAC) có thể được dùng để lưu trữ mật khẩu một cách an toàn.Mar 20, 2021
#Bcrypt : Bcrypt là một hàm mã hóa mật khẩu được thiết kế bởi Niels Provos và David Mazières dựa trên các thuật toán mã hóa Blowfish và được giới thiệu lần đầu tại USENIX trong năm 1999. Nó là sự kết hợp của cả ba khái niệm ta vừa tìm hiểu “hashing” “streching” và “salting”.
- 2FA – Xác thực hai yếu tố (2FA) thêm cấp độ xác thực thứ hai vào đăng nhập tài khoản.
- Address Space Layout Randomization (ASLR) – Một kỹ thuật làm cho việc khai thác lỗi hỏng bộ nhớ trở nên khó khăn hơn.
- Application Security – Bảo mật mức ứng dụng tập trung vào việc phân tích các thành phần bao gồm lớp ứng dụng của Mô hình tham chiếu kết nối hệ thống mở (Mô hình OSI), thay vì tập trung vào ví dụ như hệ điều hành cơ bản hoặc các mạng được kết nối.
- Application Security Verification – Đánh giá kỹ thuật của một ứng dụng chống lại OWASP ASVS.
- Application Security Verification Report – Một báo cáo ghi lại kết quả tổng thể và phân tích hỗ trợ do người xác minh tạo ra cho một ứng dụng cụ thể.
- Authentication – Việc xác minh danh tính đã xác nhận của người dùng ứng dụng.
- Automated Verification – Việc sử dụng các công cụ tự động (công cụ phân tích động, công cụ phân tích tĩnh hoặc cả hai) sử dụng chữ ký lỗ hổng để tìm ra sự cố.
- Black box testing – Đây là một phương pháp kiểm thử phần mềm nhằm kiểm tra chức năng của một ứng dụng mà không cần xem xét các cấu trúc hoặc hoạt động bên trong của nó.
- Component – một đơn vị mã độc lập, với các giao diện mạng và đĩa được liên kết giao tiếp với các thành phần khác.
- Cross-Site Scripting (XSS) – Một lỗ hổng bảo mật thường thấy trong các ứng dụng web cho phép đưa các tập lệnh phía máy khách vào nội dung.
- Cryptographic module – Phần cứng, phần mềm và / hoặc phần sụn thực hiện các thuật toán mật mã và / hoặc tạo khóa mật mã.
- CWE – Danh sách điểm yếu chung (CWE) là danh sách các điểm yếu bảo mật phần mềm phổ biến do cộng đồng phát triển. Nó đóng vai trò là ngôn ngữ chung, thước đo cho các công cụ bảo mật phần mềm và là cơ sở cho các nỗ lực xác định, giảm thiểu và ngăn chặn điểm yếu.
- DAST – Công nghệ kiểm tra bảo mật ứng dụng động (DAST) được thiết kế để phát hiện các điều kiện cho thấy lỗ hổng bảo mật trong ứng dụng ở trạng thái đang chạy.
- Design Verification – Đánh giá kỹ thuật về kiến trúc bảo mật của một ứng dụng.
- Dynamic Verification – Việc sử dụng các công cụ tự động sử dụng chữ ký lỗ hổng để tìm ra các vấn đề trong quá trình thực thi ứng dụng.
- Globally Unique Identifier (GUID) – một số tham chiếu duy nhất được sử dụng làm số nhận dạng trong phần mềm.
- Hyper Text Transfer Protocol (HTTPS) – Một giao thức ứng dụng cho hệ thống thông tin siêu phương tiện phân tán, cộng tác. Nó là nền tảng của giao tiếp dữ liệu cho World Wide Web.
- Hardcoded keys – Các khóa mật mã được lưu trữ trên hệ thống tệp, có thể là mã, nhận xét hoặc tệp.
- Input Validation – Việc chuẩn hóa và xác thực thông tin đầu vào của người dùng không đáng tin cậy.
- Malicious Code – Mã được đưa vào ứng dụng trong quá trình phát triển mà chủ sở hữu ứng dụng không hề hay biết, điều này làm sai lệch chính sách bảo mật dự kiến của ứng dụng. Không giống với phần mềm độc hại như vi-rút hoặc sâu!
- Malware – Mã thực thi được đưa vào ứng dụng trong thời gian chạy mà người dùng hoặc quản trị viên ứng dụng không biết.
- Open Web Application Security Project (OWASP) – Dự án Bảo mật Ứng dụng Web Mở (OWASP) là một cộng đồng mở và miễn phí trên toàn thế giới tập trung vào việc cải thiện tính bảo mật của phần mềm ứng dụng. Nhiệm vụ của chúng tôi là làm cho bảo mật ứng dụng “hiển thị”, để mọi người và tổ chức có thể đưa ra quyết định sáng suốt về các rủi ro bảo mật ứng dụng. Nhìn thấy: https://www.owasp.org/
- Personally Identifiable Information (PII) – là thông tin có thể được sử dụng riêng hoặc với thông tin khác để xác định, liên hệ hoặc định vị một người hoặc để xác định một cá nhân trong ngữ cảnh.
- PIE – Thực thi không phụ thuộc vào vị trí (PIE) là một phần mã máy, được đặt ở đâu đó trong bộ nhớ chính, thực thi đúng cách bất kể địa chỉ tuyệt đối của nó.
- PKI – Cơ sở hạ tầng khóa công khai (PKI) là một sự sắp xếp liên kết các khóa công khai với danh tính tương ứng của các thực thể. Ràng buộc được thiết lập thông qua quá trình đăng ký và cấp chứng chỉ tại và bởi cơ quan cấp chứng chỉ (CA).
- SAST – Kiểm tra bảo mật ứng dụng tĩnh (SAST) là một tập hợp các công nghệ được thiết kế để phân tích mã nguồn ứng dụng, mã byte và mã nhị phân để mã hóa và các điều kiện thiết kế chỉ ra tính bảo mật
- các lỗ hổng. Các giải pháp SAST phân tích ứng dụng từ “trong ra ngoài” ở trạng thái không chạy.
- SDLC – Chu trình phát triển phần mềm.
- Security Architecture – Bản tóm tắt của thiết kế ứng dụng xác định và mô tả vị trí và cách thức sử dụng các biện pháp kiểm soát bảo mật, đồng thời xác định và mô tả vị trí cũng như độ nhạy của cả dữ liệu người dùng và ứng dụng.
- Security Configuration – Cấu hình thời gian chạy của ứng dụng ảnh hưởng đến cách sử dụng các biện pháp kiểm soát bảo mật.
- Security Control – Một chức năng hoặc thành phần thực hiện kiểm tra bảo mật (ví dụ: kiểm tra kiểm soát truy cập) hoặc khi được gọi dẫn đến hiệu ứng bảo mật (ví dụ: tạo hồ sơ kiểm tra).
- SQL Injection (SQLi) – Một kỹ thuật chèn mã được sử dụng để tấn công các ứng dụng hướng dữ liệu, trong đó các câu lệnh SQL độc hại được chèn vào một điểm nhập.
- SSO Authentication – Đăng nhập một lần (SSO) xảy ra khi người dùng đăng nhập vào một ứng dụng và sau đó được tự động đăng nhập vào các ứng dụng khác mà không cần phải xác thực lại. Ví dụ: khi bạn đăng nhập vào Google, khi truy cập các dịch vụ khác của Google như Youtube, Google Docs, Gmail bạn sẽ được đăng nhập tự động.
- Threat Modeling – Một kỹ thuật bao gồm việc phát triển các kiến trúc bảo mật ngày càng hoàn thiện để xác định các tác nhân đe dọa, vùng an ninh, kiểm soát an ninh và các tài sản kinh doanh và kỹ thuật quan trọng.
- Transport Layer Security – Các giao thức mật mã cung cấp bảo mật thông tin liên lạc qua kết nối mạng
- URI/URL/URL fragments – Mã định danh tài nguyên đồng nhất là một chuỗi ký tự được sử dụng để xác định tên hoặc tài nguyên web. Bộ định vị tài nguyên thống nhất thường được sử dụng làm tham chiếu đến tài nguyên.
- Verifier – Người hoặc nhóm đang xem xét đơn đăng ký theo các yêu cầu của OWASP ASVS.
- Whitelist – Danh sách dữ liệu hoặc hoạt động được phép, ví dụ: danh sách các ký tự được phép thực hiện xác thực đầu vào.
- X.509 Certificate – An X.509 certificate is a digital certificate that uses the widely accepted international
- X.509 public key infrastructure (PKI) standard to verify that a public key belongs to the user, computer or service identity contained within the certificate.
Trả lời