Terms related to Advanced Security Tester 2016

Uživatel nebo jiná osoba, která určitým způsobem přichází do styku s testovaným systémem.
Software, který je použit k detekci a potlačení malwaru.
API
Zkratka pro aplikační programové rozhraní (Application Programming Interface).
(1) Osoba, poskytující poradenství a strategické vedení s následnou návazností na ostatní obory činnosti organizace provádějící testování. 2) Osoba, která stanoví způsob, jakým je pro daný systém testování strukturováno, zahrnuje oblasti jako testovací nástroje a management testovacích dat.
Procedura s cílem zjistit, zda je osoba nebo proces tím, za koho se vydává.
Povolení k užívání zdrojů, které je dáno uživateli nebo procesu.
Audit hodnotící bezpečnostní procesy a infrastrukturu organizace.
Nástroj, který podporuje provozní bezpečnost.
Obecný dokument popisující principy, přístup a hlavní cíle organizace v oblasti bezpečnosti.
Soubor kroků potřebných k provedení politiky bezpečnosti a kroky, které je třeba podniknout v reakci na bezpečnostní incident.
Proces testování s cílem určit bezpečnost softwarového produktu.
Slabina systému, která by mohla umožnit úspěšný bezpečnostní útok.
Pokus o získání neoprávněného přístupu k systému nebo komponentě, zdrojům, informacím, případně pokus ohrozit integritu systému.
Síť napadených počítačů nazývaných boti nebo roboti, která je řízena třetí stranou, a která je použita pro posílání malwaru nebo spamu, případně ke spuštění útoků.
Sled událostí (např. spustitelných příkazů) komponenty nebo systému ze vstupního do výstupního bodu.
Sled událostí (např. spustitelných příkazů) komponenty nebo systému ze vstupního do výstupního bodu.
Lidská činnost, která má za následek nesprávné výsledky.
Zranitelnost, která umožňuje útočníkům vložit škodlivý kód do jinak benigních (neškodných) internetových stránek.
Reprezentace dynamických měření provozní výkonnosti nějaké organizace nebo činnosti za použití metrik, které jsou metaforou prvků na palubní desce automobilu jakými jsou například vizuální číselník, čítač, apod. Důsledek událostí nebo činností tak může být snadno pochopen v souvislosti s provozními cíli.
Abstraktní znázornění posloupnosti a možných změn stavu datových objektů, kde stav objektu je jeden z následujících stavů: vytvoření, použití nebo zrušení.
Fyzická nebo logická část sítě, která obsahuje a vystavuje externě orientované služby organizace nedůvěryhodné síti, obyčejně Internetu.
Škoda, které bude způsobena v případě, že se riziko skutečně projeví.
Škoda, které bude způsobena v případě, že se riziko skutečně projeví.
Bezpečnostní tester, který používá hackerské postupy.
Komponenta nebo sada komponent, která řídí příchozí a odchozí síťový provoz na základě předem stanovených bezpečnostních pravidel.
Zkoumání cílové oblasti se záměrem získat informace, které mohou být užitečné pro útok.
Technika testování softwaru používaná k odhalení bezpečnostních zranitelností, která na vstup komponenty nebo systému předkládá masivní množství náhodných dat (nazývaných fuzz - chmýří).
Technika testování softwaru používaná k odhalení bezpečnostních zranitelností, která na vstup komponenty nebo systému předkládá masivní množství náhodných dat (nazývaných fuzz - chmýří).
GUI
Zkratka pro grafické uživatelské rozhraní.
Osoba nebo organizace, která je aktivně zapojena do bezpečnostních útoků, obvykle s nepřátelskými úmysly.
Transformace řetězců proměnné délky do obvykle kratší hodnoty pevné délky nebo klíče. Hashované hodnoty nebo též hashe se běžně používají v tabulkách s rozptýlenými položkami (hashovací tabulka) nebo databázových vyhledávacích funkcích. Kryptografické hashovací funkce se používají pro zabezpečení dat.
Obecná metrika efektivity a/nebo výkonnosti používaná ke směrování a kontrole progresivního vývoje, např. zpoždění termínu dodání (lead-time slip) ve vývoji softwaru.
Proces skládání (kombinování) komponent nebo systémů do rozsáhlejších celků.
Obecná metrika efektivity a/nebo výkonnosti používaná ke směrování a kontrole progresivního vývoje, např. zpoždění termínu dodání (lead-time slip) ve vývoji softwaru.
Skladba komponenty nebo systému, která je definována počtem, vlastnostmi a vzájemným propojením všech jeho součástí.
Rozhodovací pravidla používaná k určení, zda byla daná položka testů (funkce) nebo vlastnost označena jako úspěch nebo selhání.
Kryptografická technika, která přidává před procesem hashování náhodná data (sůl) do uživatelských dat.
Software, jehož cílem je poškodit systém nebo jeho komponenty.
Stupnice měření a metoda definovaná pro její měření.
Bod v časové ose projektu, ve kterém by měly být k dispozici (i přechodné) výstupy a výsledky, které jsou pro daný bod definovány.
Číslo nebo kategorie přiřazená k atributu entity na základě provedeného měření.
Dokonalejší metoda nebo inovativní postup, který přispívá ke zlepšení výkonnosti organizace v daném kontextu, obvykle hodnocená jako nejlepší podobnými organizacemi.
Nástroj, který podporuje záznam požadavků, atributů požadavků (např. priorita, zodpovědnost) a poznámek a dále usnadňuje sledovatelnost přes jednotlivé vrstvy požadavků a změnového řízení požadavků. Některé nástroje pro řízení požadavků také poskytují podporu pro statickou analýzu jako je např. kontrola konzistence a kontrola porušení předdefinovaných pravidel pro řízení požadavků.
Nástroj, který provádí statickou analýzu.
Nástroj, který provádí statickou analýzu.
Ochrana osobních údajů či jinak citlivých informací před nežádoucím prozrazením.
Bezpečnostní útok jehož cílem je přetížit systém (nelegitimními) požadavky tak, že legitimní požadavky nemohou být zpracovány.
Lidská činnost, která má za následek nesprávné výsledky.
Softwarový nástroj, který je obvykle přes internet k dispozici všem potenciálním uživatelům ve formě zdrojového kódu. Jeho uživatelům je většinou na základě licence dovoleno zkoumat, měnit, zlepšovat a někdy také distribuovat daný software.
Potvrzení pomocí zkoumání a poskytnutí objektivních důkazů, že specifikované požadavky byly splněny.
Technika testování, jejíž cílem je odhalení bezpečnostních zranitelností (známých nebo neznámých) k získání neoprávněného přístupu.
Bezpečnostní útok určený k přesměrování provozu webové stránky na podvodné webové stránky bez vědomí či souhlasu uživatele.
Pokus získat osobní nebo citlivé informace vydáváním se za důvěryhodnou entitu v elektronické komunikaci.
Aktivita zavedení nebo aktualizace plánu testování.
Obecný dokument, který popisuje principy, přístup a hlavní cíle organizace v oblasti testování.
Praktika určení způsobu, kterým byl proveden úspěšný bezpečnostní útok a vyhodnocení jeho škod.
Odhadnutá pravděpodobnost, že se z rizika stane skutečný výsledek nebo událost.
Odhadnutá pravděpodobnost, že se z rizika stane skutečný výsledek nebo událost.
Úroveň důležitosti (obvykle z pohledu byznysu) přiřazená nějaké položce, např. defektu.
Sada provázaných aktivit, které přeměňují vstupy na výstupy
Rámec, ve kterém jsou procesy stejné povahy zařazeny do celkového modelu, např. model zlepšování testů.
Projekt je unikátní soubor koordinovaných a řízených činností s datem zahájení a datem ukončení uskutečněných pro dosažení cíle, který vyhovuje specifickým požadavkům, včetně omezení času, nákladů a zdrojů.
Paměťový element v počítači, který je přístupný softwarovým programem za použití jména.
Hardwarové a softwarové produkty nainstalované u uživatelů nebo zákazníků v místech, kde bude testovaná komponenta nebo systém používán. Software může obsahovat operační systémy, systémy pro správu databází a další aplikace.
Zkoumání cílové oblasti se záměrem získat informace, které mohou být užitečné pro útok.
Přechod mezi dvěmi stavy komponenty nebo systému.
Prvek programovacího jazyka, který je typicky nejmenší nedělitelnou spustitelnou jednotkou.
Prvek programovacího jazyka, který je typicky nejmenší nedělitelnou spustitelnou jednotkou.
Případ užití, ve kterém někteří aktéři se zlým úmyslem způsobují škody na systému nebo jiným aktérům.
Sběr a analýza dat z testovacích aktivit a následná konsolidace dat do zprávy pro zainteresované strany.
Faktor, který může v budoucnu vést k negativním důsledkům. Obvykle je vyjádřen pomocí dopadu a pravděpodobnosti.
Proces získávání seznamů e-mailových adres pro použití v hromadných e-mailových zprávách.
Statický analyzátor, který se používá k detekci určitých bezpečnostních zranitelností v kódu.
Statická analýza s cílem najít a odstranit škodlivý kód.
Chování vytvořené/pozorované při testování systému nebo komponenty.
Stupeň složitosti komponenty nebo systému ve smyslu pochopení jejího návrhu a/nebo interní struktury, údržby a ověřování funkčnosti.
Pokus o zmanipulování někoho za účelem odhalení informací (například hesla), které lze použít k útoku na systémy nebo sítě.
Počítačové programy, postupy a případně související dokumenty a data týkající se provozu počítačového systému.
Dokument, který ideálně úplným, přesným a ověřitelným způsobem specifikuje požadavky, design, chování nebo jiné vlastností komponenty nebo systému. Často také postupy určující, zda tyto předpoklady (požadavky) byly splněny.
Bezpečnostní útok, při kterém jsou škodlivé SQL příkazy vkládány do vstupního pole pro spouštění.
Formální, případně povinná sada požadavků vyvinutá a používaná k předepsání konzistentních přístupů ke způsobu práce nebo k poskytování pokynů (například normy ISO / IEC, IEEE standardy a organizační normy).
Implementace softwarové komponenty ve formě skeletu nebo komponenty se speciálním určením, použitá pro vývoj nebo test komponenty, která tuto implementaci volá nebo je na ní závislá. Nahrazuje volanou komponentu.
Systém, který monitoruje činnosti na sedmi vrstvách OSI modelu (od síťové po aplikační vrstvu) tak, aby odhalil porušení bezpečnostní politiky.
Vícenásobné heterogenní distribuované systémy, které jsou vestavěné v sítích na několika úrovních a ve více vzájemně propojených oblastech, které řeší rozsáhlé interdisciplinární společné problémy a cíle, obvykle bez společné struktury řízení.
Sada jednoho nebo více testovacích případů.
Prostředí obsahující hardware, vybavení, simulátory, softwarové nástroje a další podpůrné prvky potřebné k provedení testu.
Prostředí obsahující hardware, vybavení, simulátory, softwarové nástroje a další podpůrné prvky potřebné k provedení testu.
Prostředí obsahující hardware, vybavení, simulátory, softwarové nástroje a další podpůrné prvky potřebné k provedení testu.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Testování založené nebo zahrnující modely.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Technika založená na zkušenostech, která využívá útoky na software k vyvolání selhání a to zejména takových, které souvisí s bezpečností.
Testování založené na analýze vnitřní struktury komponenty nebo systému.
Během fáze uzavření testování, která je částí procesu testování, se sbírají data z ukončených aktivit s cílem sjednocení zkušeností, testwaru, faktů a údajů. Fáze uzavření testování se skládá z dokončení a archivace testwaru a vyhodnocení procesu testování včetně přípravy zprávy hodnotící testování.
Potvrzení pomocí zkoumání a poskytnutí objektivních důkazů, že požadavky na specifické zamýšlené použití nebo specifické aplikování byly splněny.
Atribut komponenty nebo systému specifikovaný nebo vyplývající z dokumentace požadavků (např. spolehlivost, použitelnost nebo designová omezení).
Atribut komponenty nebo systému specifikovaný nebo vyplývající z dokumentace požadavků (např. spolehlivost, použitelnost nebo designová omezení).
Bezpečnostní hrozba, která pochází zevnitř organizace, často od autorizovaného uživatele systému.
Data získaná testovaným objektem z externího zdroje během provedení testu. Externí zdroj může být hardware, software nebo člověk.
Příkaz, který je po zkompilování přeložen do kódu. Při běhu programu bude řízeně vykonán a může provést nějakou činnost s daty.
Důsledek/výsledek provedení testu. Zahrnuje výstupy na obrazovce, změny dat, reporty a odeslané komunikační zprávy.
Důsledek/výsledek provedení testu. Zahrnuje výstupy na obrazovce, změny dat, reporty a odeslané komunikační zprávy.
Důsledek/výsledek provedení testu. Zahrnuje výstupy na obrazovce, změny dat, reporty a odeslané komunikační zprávy.
Důsledek/výsledek provedení testu. Zahrnuje výstupy na obrazovce, změny dat, reporty a odeslané komunikační zprávy.
Opatření, která vedou k ochraně a obraně informací a informačních systémů prostřednictvím zajištění jejich dostupnosti, integrity, autentizace, důvěrnosti a nepopiratelnosti. Tato opatření zajišťují také možnost obnovy informačních systémů za pomoci schopností jako je ochrana, detekce a reakce.
Transformace dat, která způsobuje komplikované rozpoznání původních dat pro člověka.
Plán aktivit, jehož cílem je zlepšit výkonnost a zralost procesů organizace a výsledek takového plánu.
Postupný proces snižující bezpečnostní zranitelnost systému pomocí aplikování bezpečnostní politiky a různých vrstev ochrany.
Stupeň dopadu, který má daný defekt na vývoj nebo fungování komponenty nebo systému.
Část sítě s určitým stupněm důvěry. Například Internet nebo veřejná zóna by byly považovány za nedůvěryhodné.
Osoba nebo proces, který se pokouší bez povolení o přístup k datům, funkcím nebo jiným vymezeným oblastem systému s možným zlým úmyslem.
(1) Strukturovaný přístup k přechodu jedinců a organizací ze současného do požadovaného budoucího stavu. (2) Řízený způsob, jak dosáhnout změny nebo navrhované změny ve výrobku nebo službě.
Proces kódování informací, jehož cílem je zajistit, aby původní informace mohly získat pouze autorizované entity, obvykle pomocí zvláštního klíče nebo dešifrovacího procesu.
Schopnost softwarového produktu být upgradován s cílem vyhovět zvýšenému zatížení.
Časový interval, který začíná, když je softwarový produkt formován a končí, když již není k dispozici k užívání. Životní cyklus softwaru typicky zahrnuje fáze konceptu, požadavků, návrhu, implementace, testování, instalace a vyzkoušení, provozu a údržby a někdy také fázi stažení (z produkce). Tyto fáze se mohou překrývat nebo mohou být vykonávány iterativně.