DAST（動的アプリケーションセキュリティテスト）

クライアントからのリクエストを受け取り、背後のWebサーバに転送するプロキシサーバ。外部から内部サーバを隠蔽し、SSL/TLS終端、負荷分散、キャッシュ、アクセス制御などのセキュリティ機能を提供する。WAFと組み合わせて使用されることも多い。

Webサービス間で認可情報を安全に委譲するためのプロトコル。リソースオーナーの許可を得て、サービス（クライアント）に対してアクセストークンを発行し、適切な権限の範囲内でリソースへのアクセスを許可する。認証ではなく認可のためのプロトコルである。

トランスポート層で通信の暗号化・認証・改ざん検知を提供するプロトコル。TLS 1.3では暗号スイートがAEADとハッシュアルゴリズムの組みに簡素化され、ハンドシェイクの効率化とセキュリティ強化が図られた。HTTPS、IMAPS、SMTPS等で広く利用される。

Webアプリケーションの入力値を通じて不正なSQL文を挿入・実行させる攻撃手法。データの不正取得、改ざん、削除などが可能になる。対策としてプレースホルダ（バインド機構）の使用、入力値の検証、エスケープ処理、最小権限のDBアカウント使用がある。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込む攻撃。反射型、格納型、DOMベースの3種類がある。対策として出力時のHTMLエスケープ、Content-Security-Policy（CSP）ヘッダの設定、入力値の検証がある。

ログイン済みの利用者に対し、攻撃者が用意した罠のWebページを経由して、利用者の意図しないリクエストを正規のWebサイトに送信させる攻撃。対策としてCSRFトークンの埋め込みと検証、SameSite属性付きCookieの使用、Refererヘッダの検証がある。