Black Hat Hacker / Черный хакер
Black Hat хакер является хакером, который “нару-
шает компьютерную безопасность по причинам
не зависящим от злонамеренности или от личной
выгоды” (Роберт Мур, 2005, киберпреступность).
Блэкхэтов также называют взломщиками в отрас-
ли безопасности и современных программистов.
Эти хакеры часто выполняют вредоносные дей-
ствия для уничтожения, изменения или кражи дан-
ных. Это противоположность белым хакерам.
Переполнение буфера
Переполнением буфера называется ситуация, ко-
гда программа записывает в буфер или область
памяти больше данных, чем то пространство, ко-
торое фактически выделено в памяти для этих
данных, или когда программа записывает данные
за пределами выделенного в памяти буфера.
Программа Bug Bounty
Сделка, предлагаемая разными сайтами в резуль-
тате чего белые хакеры могут получить публичное
признание или денежное вознаграждение за сооб-
щения об ошибках, в частности, связанных с уяз-
вимостью в безопасности. Например HackerOne.com
и Bugcrowd.com
Отчет об ошибке
Описание исследователя о потенциальной уязви-
мости в безопасности конкретного продукта или
услуги.
CRLF Injection
CRLF, или возврат каретки (CR) подачи строки
(LF), представляет собой тип уязвимости, которая
возникает, когда пользователю удается вставить
CRLF в приложение. Это иногда также называется
HTTP Response Splitting.
Cross Request Site Forgery (межсайтовая
подделка запроса)
CSRF атака происходит, когда вредоносный веб-
сайт, электронная почта, мгновенные сообщения,
приложения и т.д. заставляет веб-браузер пользо-
вателя выполнить какое-либо действие на другом
сайте, где этот пользователь уже аутентифициро-
ван, или вошёл в систему.
Cross Site Scripting (межсайтовый скриптинг)
XSS, тип атаки на веб-системы, заключающийся
во внедрении в выдаваемую веб-системой страни-
цу вредоносного кода(который будет выполнен на
компьютере пользователя при открытии им этой
страницы) и взаимодействии этого кода с веб-
сервером злоумышленника.
HTML Injection
Hypertext Markup Language (HTML) инъекция - ата-
ка на сайт, позволяющая злоумышленнику внед-
рить любой HTML-код в сайт, не обрабатывая кор-
ректно ввод этого пользователя.
Уязвимость загрязнения параметров HTTP
(HTTP Parameter Pollution)
Уязвимость заключается в том, что разные плат-
формы (совокупность веб сервера и языка разра-
ботки веб приложения) по разному обрабатывают
последовательность параметров HTTP запросов с
одинаковыми имена.
Расщепление HTTP ответа
Другое название CRLF Injection, где злоумышлен-
ник может вводить заголовки в ответ сервера.
Нарушение целостности памяти /
Повреждение памяти
Повреждение памяти это способ осуществления
уязвимости, когда вызывается код для выполнения
определенного типа необычного или неожидан-
ного поведения. Эффект похож на переполнение
буфера, где память подвергается воздействиям, каких не должно быть.
Открытое перенаправление
Открытое перенаправление происходит, когда при-
ложение принимает параметр и перенаправляет
пользователя к значению этого параметра без какойлибо валидации и проверки значения этого пара-
метра.
Тестирование на проникновение
Программная атака на компьютерную систему. Программа ищет недостатки системы безопасности,
потенциальное получение доступа к функциям компьютера и данных. Может быть законной или одобренной компанией для тестирования или в виде
незаконных испытаний для гнусных целей.
Исследователи
Также известные как White Hat Хакеры. Все, кто
занимается исследованием и изучением потенци-
альных угроз безопасности в той или иной форме,
включая академических исследователей, инженеров-
программистов, системных администраторов, и да-
же случайных технарей.
Группа реагирования
Команда лиц, которые несут ответственность за
решение проблем безопасности, обнаруженных в
продукте или услуге. В зависимости от обстоя-
тельств, это может быть формальная группа реа-
гирования из организации, группа добровольцевв проекте с открытым исходным кодом, или неза-
висимая группа добровольцев.
Ответственное Раскрытие
Описание уязвимости предоставляет группе реа-
гирования адекватный период времени для устра-
нения уязвимости перед открытой публикацией
уязвимости.
Уязвимость
Ошибка в программном обеспечении, которая поз-
воляет злоумышленнику выполнить действие в
нарушение выраженной политики безопасности.
Ошибка, которая позволяет получить доступ или
привилегии является уязвимостью. Конструктив-
ные и архитектурные недостатки программ, а так-
же пренебрежение популярными советами и ин-
струкциями по информационной безопасности так-
же могут квалифицировать как уязвимости.
Координация уязвимости
Процесс, в котором все вовлеченные стороны ра-
ботают вместе, чтобы решить проблему с уязви-
мостью. Например, исследование (белого хакера) и
компания из HackerOne или исследователь (белый
хакер) и open source сообщество.
Раскрытие Уязвимости
Раскрытие уязвимости это предоставление инфор-
мации о проблеме в компьютерной безопасности.