Glossaire
Ce glossaire contient les termes utilisés dans le logiciel et les produits IBM Connections Docs, ainsi que leur définition.
Les références croisées suivantes sont utilisées dans ce glossaire :
- Voir fait référence, dans le cas d'un terme, à un synonyme préféré ou, dans le cas d'un acronyme ou d'une abréviation, à la forme complète définie.
- Voir également renvoie à un terme connexe ou opposé.
Pour d'autres termes et définitions, reportez-vous au site web de terminologie HCL (s'ouvre dans une nouvelle fenêtre).
H
- abus de fonctionnalité
- Technique qui utilise les caractéristiques et fonctionnalités d'un site Web pour se servir des mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les faire échouer.
- cookie accepté
- Cookie qui est accepté par Internet Explorer sans restriction.
- contrôle d'accès
- En sécurité informatique, processus permettant de vérifier que les utilisateurs ne peuvent accéder qu'aux ressources d'un système informatique auxquelles ils sont autorisés à accéder.
- conseil
- Document qui contient des informations et une analyse sur une menace ou une vulnérabilité.
- applet
- Programme qui effectue une tâche spécifique et peut généralement être déplacé d'un système d'exploitation à un autre. Souvent écrites en Java, les applets peuvent être téléchargées à partir d'Internet et exécutées dans un navigateur Web.
- application
- Un ou plusieurs programmes ou composants logiciels mettant à disposition une fonction au service d'un ou de plusieurs processus métier spécifiques. Voir également serveur d'applications.
- serveur d'applications
- Programme serveur dans un réseau réparti qui fournit l'environnement d'exécution pour une application. Voir également application.
- compteur d'arborescence d'application
- Suite de nombres entre parenthèses à côté de chaque noeud de l'arborescence d'application indiquant le nombre d'éléments de cette branche.
- attaque
- Tentative, par une personne non autorisée, de compromettre l'opération d'un logiciel ou d'un système en réseau. Voir également cyber-attaquant.
- cyber-attaquant
- Utilisateur (personne ou programme informatique) tentant d'endommager un système informatique ou d'accéder à des informations qui ne sont pas destinées à un accès public. Voir également attaque, cyber-attaquant.
- point d'authentification
- Ressource contenant un authentificateur (dans le cas d'une authentification par formulaire) ou dont l'accès a été obtenu à l'aide d'un authentificateur (dans le cas de HTTP, NT Lan Manager, ou validation par certificat).
- authentificateur
- Dans le protocole Kerberos, chaîne de données générée par le client et envoyée avec un ticket, qui est utilisée par le serveur pour certifier l'identité du client.
B
- porte dérobée
- Brèche dans la sécurité d'un système. Elle peut être utilisée par les pirates pour accéder aux informations sensibles ou par les programmeurs pour la maintenance et les tests.
- expression booléenne
- Expression qui a pour résultat une valeur booléenne. Voir également valeur booléenne.
- Valeur booléenne
- Valeur qui peut être soit vraie, soit fausse, selon qu'elle est codée en 1 ou en 0. Voir également expression booléenne.
- contrôle d'accès rompu
- Vulnérabilité provenant de la mise en oeuvre inadéquate de restrictions pour les utilisateurs authentifiés. Les agresseurs peuvent exploiter ces défauts pour accéder à d'autres comptes utilisateurs, consulter des fichiers sensibles ou utiliser des fonctions non autorisées.
- authentification et gestion de session rompues
- Problème qui survient lorsque des données d'identification de compte et des jetons de session ne sont pas correctement protégés. Les agresseurs peuvent compromettre les mots de passe, les clés, les cookies de session ou d'autres éléments et assumer d'autres identités utilisateur.
- attaque par force brute
- Attaque qui utilise une méthode répétitive d'essai et d'erreur pour obtenir le nom d'utilisateur et le mot de passe d'un compte valide sur une application Web. S'il y parvient, le cyber-attaquant peut alors accéder aux numéros de carte de crédit, aux clés de chiffrement, aux données de profil des documents confidentiels et aux outils utilisés pour gérer les privilèges utilisateur et le contenu de l'application Web.
- dépassement de la mémoire tampon
- Technique d'exploitation qui altère le flux d'une application en écrasant des parties de la mémoire. Les dépassements de la mémoire tampon sont une cause fréquente de problèmes au niveau logiciel.
C
- AC (ou OC)
- Voir autorité de certification.
- certificat
- Dans le domaine de la sécurité informatique, document numérique qui associe une clé publique à l'identité du propriétaire du certificat, permettant ainsi à ce dernier d'être authentifié. Un certificat est émis par une autorité de certification et signé numériquement par ce dernier. Voir aussi autorité de certification.
- autorité de certification (AC), également connue sous le nom d'organisme de certification (AC)
- Organisation ou société tiers certifiée émettant les certificats numériques. L'autorité de certification vérifie l'identité des personnes auxquelles est accordé le certificat unique. Voir également certificat, Secure Sockets Layer.
- liste de révocation de certificats (LRC)
- Liste de certificats qui ont été révoqués avant leur date d'expiration planifiée. Les listes de révocation de certificat sont gérées par l'autorité de certification et utilisées, pendant l'établissement de liaison SSL pour garantir que les certificats impliqués n'ont pas été révoqués.
- Conformité
- Etat conforme aux spécifications logicielles et de sécurité établies sur des ordinateurs cibles, ou processus qui consiste à le faire.
- fichier de configuration
- Fichier spécifiant les caractéristiques d'un programme, d'une unité système, d'un système ou d'un réseau.
- usurpation de contenu
- Technique d'attaque utilisée pour tromper un utilisateur et lui faire croire que le contenu qui apparaît sur un site Web est légitime et ne provient pas d'une source externe.
- contexte
- Information relative à un problème qui est enregistrée pendant un examen.
- cookie
- Information stockée par le serveur sur une machine cliente et à laquelle il accède au cours des sessions suivantes. Les cookies permettent aux serveurs d'obtenir des informations spécifiques sur les clients.
- ID cookie
- Voir identificateur de cookie.
- identificateur de cookie (ID cookie)
- Identificateur unique affecté à un cookie découvert pendant un examen.
- empoisonnement de cookie
- Technique utilisée pour pratiquer le vol d'identité ou le détournement de session. En manipulant les informations stockées dans un cookie de navigateur, les pirates prennent l'identité de l'utilisateur et accèdent aux informations de cet utilisateur à des fins malveillantes.
- prédiction des données d'identification
- Méthode de détournement ou d'usurpation d'identité pratiquée à l'encontre d'un utilisateur de site web en devinant la valeur unique qui identifie une session ou un utilisateur spécifiques.
- LRC
- Voir liste de révocation de certificats.
- attaque par script intersite (XSS)
- Technique d'attaque qui force un site Web à répercuter les données fournies par un client et qui s'exécute dans le navigateur Web de l'utilisateur.
- page d'erreur personnalisée
- Fonction de la plupart des logiciels de serveur Web permettant à l'utilisateur de remplacer des messages d'erreur par défaut par des messages personnalisés conçus pour l'application.
D
- tableau de bord
- Interface qui intègre les données de toute une variété de sources et affiche de façon cohérente des informations pertinentes et contextuelles.
- Data Encryption Standard (DES)
- Algorithme de cryptographie conçu pour chiffrer et déchiffrer les données à l'aide d'une clé privée.
- attaque par refus de service
- En sécurité informatique, attaque contre un réseau qui interrompt un ou plusieurs hôtes, ces hôtes n'étant plus en mesure de fonctionner correctement. Le service réseau est interrompu pendant un certain temps.
- cookie refusé
- Cookie dont les informations ne seront pas disponibles pour être stockées et retransmises au domaine spécifié.
- profondeur
- Nombre de clics requis pour qu'un utilisateur ou un moteur de balayage automatique passe d'une page source à une page cible.
- DES
- Voir Data Encryption Standard.
- signature numérique
- Informations chiffrées avec une clé privée et ajoutées à un message ou un objet pour garantir au destinataire l'authenticité et l'intégrité du message ou de l'objet. La signature numérique prouve que le message ou l'objet a été signé par l'entité qui détient ou a accès à la clé privé ou à la clé symétrique à secret partagé.
- indexation de répertoire
- Fonction de serveur web qui affiche le contenu d'un répertoire lorsqu'il n'y a pas de page d'index.
- DNS
- Voir Domain Name System.
- déclaration de type de document
- Déclaration de marquage contenant la spécification officielle pour la définition de type de document.
- domaine
- Sur Internet, partie de la hiérarchie de désignation dans laquelle le nom de domaine se compose d'une séquence de noms (libellés) séparés par des points.
- nom de domaine
- Dans les communications Internet, nom d'un système hôte. Un nom de domaine se compose d'une séquence de noms secondaires séparés par un délimiteur, par exemple, www.hcl.com. Voir également système de noms de domaine.
- DNS (Domain Name System)
- Système de base de données distribué qui mappe les noms de domaine aux adresses IP. Voir également nom de domaine.
- DoS
- Voir attaque par refus de service.
- cookie diminué
- Cookie dont l'état est passé de cookie persistant à cookie de session.
E
- attaque de codage
- Technique d'exploitation qui facilite l'attaque en modifiant le format des données fournies par l'utilisateur afin d'ignorer les filtres de contrôle d'exactitude.
- chiffrement
- En sécurité informatique, processus consistant à transformer les données en un format non intelligible afin que les données originales ne puissent pas être obtenues ou puissent être obtenues uniquement à l'aide d'un processus de déchiffrement.
- expansion d'entité
- Type d'attaque par refus de service au niveau XML qui amène les serveurs d'applications à renvoyer par écho les données utilisateurs.
- exporter
- Sauvegarder une copie du document, de la base de données ou d'une image en cours dans le format de fichier requis par une autre application.
- exposition
- Degré d'accessibilité des informations à l'aide de méthodes autorisées ou non autorisées.
- domaine externe
- Domaine qui a une adresse URL différente, jusqu'à la première barre oblique inversée, par comparaison avec l'adresse URL de démarrage du site examiné.
F
- faux positif
- Résultat de test classé comme positif (indiquant que le site est vulnérable aux attaques) et que l'utilisateur décide de classer comme négatif (il ne s'agit pas d'une vulnérabilité).
- fichier
- Ensemble de données associées qui sont stockées et extraites à l'aide d'un nom spécifique.
- recommandation de correction
- Détails spécifiques et techniques relatifs à la correction d'une application Web afin de la sécuriser contre le problème découvert.
- état corrigé
- Etat qui indique qu'un problème a été corrigé.
- rôle du dossier
- Ensemble de permissions qui s'appliquent à tous les travaux, ensembles de rapports et tableaux de bord au sein du dossier. Voir aussi type d'utilisateur.
- exploration forcée
- Voir emplacement de ressource prévisible.
- attaque de type chaîne de format
- Attaque qui altère le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire. Les vulnérabilités se produisent lorsque les données fournies par l'utilisateur sont utilisées directement comme entrées de chaîne de formatage pour certaines fonctions C/C++ notamment fprintf, printf, sprintf.
G
- GET
- Sous HTTP, paramètre de l'attribut METHOD de la balise <FORM> qui spécifie qu'un navigateur va ajouter les données de formulaire à la fin d'une adresse URL lors de l'envoi des données de formulaire à un serveur.
H
- hacker
- Personne non autorisée tentant d'accéder à des ressources protégées sur un système. Voir également cyber-attaquant.
- caractère dangereux
- Caractère utilisé pour procéder à des attaques d'application Web, telles que des injections XSS ou SQL.
- paramètre masqué
- Paramètre de formulaire HTML non rendu dans la page Web.
- zone masquée
- Zone d'un fichier d'affichage utilisée par le programme mais non affichée.
- hôte
- Ordinateur connecté à un réseau et qui fournit un point d'accès à ce réseau. Il peut s'agir d'un client, d'un serveur, ou des deux. Voir aussi serveur.
- nom d'hôte
- Dans la communication Internet, nom donné à un ordinateur. Le nom d'hôte peut être un nom de domaine complet tel que mycomputer.city.company.com ou un nom auxiliaire spécifique, par exemple, mycomputer.
I
- fuite d'informations
- Divulgation de données sensibles sur un site web, qui pourrait aider un agresseur à exploiter l'application.
- faille d'injection
- Faille qui permet à des agresseurs d'envoyer du code malveillant à un système externe via une application Web.
- stockage non sécurisé
- Informations et données d'identification stockées sur le disque dur d'un client et qui n'ont pas été protégées à l'aide de fonctions cryptographiques.
- détection en session
- Détection du schéma En session dans les réponses reçues par AppScan, afin de vérifier qu'il est toujours connecté.
- schéma en session
- Schéma identifié dans la page de connexion, tel qu'un lien de déconnexion, qu'AppScan peut utiliser pour vérifier qu'il est toujours connecté.
- anti-automatisation insuffisante
- Ce qui se passe lorsqu'un site Web permet à un agresseur d'automatiser un processus qui devrait uniquement être exécuté manuellement.
- authentification insuffisante
- Vulnérabilité qui se produit lorsqu'un site web permet à un agresseur d'accéder à du contenu ou des fonctionnalités sensibles, par exemple un outil d'administration Web, sans authentifier correctement les permissions d'accès de l'agresseur.
- autorisation insuffisante
- Vulnérabilité qui se produit lorsqu'un site web autorise l'accès à un contenu ou à des fonctionnalités sensibles qui devraient être assortis de restrictions d'accès.
- validation de processus insuffisante
- Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur d'ignorer la séquence d'étapes prévue d'une application.
- expiration de session insuffisante
- Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur de réutiliser d'anciens identificateurs de session pour le processus d'autorisation.
- domaine interne
- Domaine qui est inclus dans l'examen de contenu et qui apparaît dans la liste des adresses URL de départ.
- test invasif
- Test facultatif qui, s'il est exécuté sur l'application, peut créer une situation de déni de service.
- problème
- Risque de sécurité auquel une application Web est vulnérable, ou informations potentiellement sensibles visibles par des utilisateurs non autorisés.
- ID problème
- Voir identificateur de problème.
- identificateur de problème (ID problème)
- Numéro affecté à chaque instance d'un problème détecté pendant un examen de contenu.
J
- propriétaire de travail
- Personne ou groupe responsable de la réalisation complète d'un travail.
K
- clé
- Valeur mathématique cryptographique utilisée pour signer numériquement, vérifier, chiffrer ou déchiffrer un message.
- protocole d'échange de clé
- Protocole régissant la façon dont les deux parties échangent les clés à utiliser pour sécuriser une transaction. Une fois les clés échangées, les données peuvent être chiffrées du côté de l'expéditeur et déchiffrées du côté du destinataire.
- longueur de clé
- Mesure de la taille des données qui composent une clé. Cette mesure détermine le niveau de sécurité de la clé. Les clés longues, les clés 128 bits par exemple, sont considérées plus difficiles à casser que les clés courtes (48 bits).
L
- LDAP
- Voir Lightweight Directory Access Protocol.
- injection LDAP
- Voir injection Lightweight Directory Access Protocol.
- cookie dédié
- Cookie accepté lors du téléchargement d'un document sur un premier site et bloqué si ce document est téléchargé à partir d'un autre site.
- Lightweight Directory Access Protocol (LDAP)
- Protocole ouvert qui utilise le protocole TCP/IP pour fournir l'accès aux annuaires prenant en charge un modèle X.500 et qui n'est pas soumis aux exigences de ressource du protocole DAP X.500, plus complexe. Par exemple, le protocole LDAP peut être utilisé pour localiser des personnes, des organisations et d'autres ressources dans un annuaire Internet ou Intranet. Voir aussi injection Lightweight Directory Access Protocol.
- injection Lightweight Directory Access Protocol (injection LDAP)
- Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions LDAP à partir des entrées utilisateur. Voir aussi Lightweight Directory Access Protocol.
- lien
- En hypertexte, association définie par le rédacteur entre deux noeuds d'informations.
- séquence de connexion
- Séquence enregistrée automatiquement ou manuellement d'adresses URL et d'entrées utilisateur permettant à AppScan de se connecter à une application Web.
- longdesc
- Voir description longue.
- description longue (longdesc)
- Attribut HTML utilisé dans l'élément d'image, l'élément de cadre ou l'élément iframe. Il associe une description d'image avec le code qui place l'image dans la page Web. Voir aussi texte alternatif.
I
- manipulation
- Modification, par un cyber-attaquant, d'un élément de données, d'un groupe d'éléments, d'une action ou d'un groupe d'actions sur la base d'une ou de plusieurs propriétés. Par exemple, la modification d'une entrée en supprimant un argument obligatoire ou la réalisation d'étapes irrégulières.
- exploration manuelle
- Processus d'exploration manuelle d'une application Web permettant d'accéder aux parties du site dépendantes des entrées d'un utilisateur réel et de les tester.
- Type MIME
- Standard utilisé pour identifier le type d'objet transféré sur Internet.
- examen en plusieurs phases
- Examen comprenant deux phases ou plus. Voir aussi phase.
N
- piste de navigation
- Objet qui montre le chemin vers la page en cours.
- état bruit
- Etat indiquant un problème qui n'a pas lieu d'être et ne doit plus être considéré comme un problème. L'état bruit peut indiquer un faux positif.
O
- injection de commandes du système d'exploitation
- Technique utilisée pour exploiter les sites web en exécutant les commandes du système d'exploitation via la manipulation des entrées de l'application.
- injection de commandes OS
- Voir injection de commandes du système d'exploitation.
P
- P3P
- Voir plateforme des préférences de confidentialité.
- stratégie compacte P3P
- Liste de codes à trois ou quatre lettres qui communiquent les règles de confidentialité d'une page web au navigateur. Les codes indiquent quel type d'informations est collecté par un cookie et à qui l'information est distribuée. Voir aussi plateforme des préférences de confidentialité.
- altération des paramètres
- Technique d'attaque utilisée pour modifier les paramètres d'adresse URL d'un site. Les hackers utilisent l'altération de paramètres pour réaliser des actions frauduleuses.
- analyse syntaxique
- Processus de décomposition d'une chaîne d'informations, telle qu'une commande ou un fichier, en parties constituant cette chaîne.
- chemin
- Partie de l'adresse URL pointant vers l'emplacement d'une ressource Internet.
- filtrage de chemin
- Processus de filtrage ou d'inclusion de pages selon un ensemble de critères.
- survol de chemin
- Technique d'attaque qui altère l'emplacement d'une ressource ou d'un document dans une URL et impose l'accès à des fichiers, répertoires et commandes situés en dehors du répertoire racine du document Web.
- test d'effraction
- Méthode d'évaluation de la sécurité d'une application Web par la simulation d'une attaque par un pirate.
- droit
- Autorisation d'exécution d'activités, telles que la lecture et l'écriture de fichiers locaux, la création de connexions réseau et le chargement d'un code natif.
- cookie persistant
- Cookie stocké sur l'ordinateur d'un utilisateur jusqu'à son expiration ou jusqu'à sa suppression par l'utilisateur. Les cookies persistants sont utilisés pour collecter des informations d'identification sur l'utilisateur pour un site web spécifique, par exemple ses préférences ou son comportement de surfing sur le web.
- phase
- Processus incluant l'étape d'exploration et l'étape de test d'un examen. Voir aussi examen en plusieurs phases.
- limite de phase
- Nombre maximal de phases autorisées dans un examen. La limite est configurable.
- PKI
- Voir infrastructure PKI.
- plateforme des préférences de confidentialité (P3P)
- Spécification W3C (World Wide Web Consortium) qui permet aux sites Web de définir leurs pratiques de confidentialité selon un format standard. Pour davantage d'informations, voir le site web du projet P3P (http://www.w3.org/P3P/). Voir aussi stratégie compacte P3P.
- port
- Point terminal pour la communication entre les applications, généralement associé à une connexion logique. Un port fournit des files d'attente pour envoyer et recevoir des données. Chaque port a un numéro de port qui permet de l'identifier.
- POST
- Sous HTTP, paramètre de l'attribut METHOD et de la balise FORM qui spécifie qu'un navigateur enverra des données de formulaire à un serveur dans une transaction HTTP séparée de celle de l'URL associée.
- Emplacement de ressource prévisible
- Technique d'attaque destinée à découvrir les fonctionnalités et le contenu masqués d'un site Web. L'attaque cherche le contenu dans des emplacements standard non destinés à une consultation publique, notamment les fichiers temporaires, les fichiers de sauvegarde, les fichiers de configuration ou les fichiers échantillon.
- label de confidentialité
- Logo indiquant que l'organisation qui l'affiche sur son site web respecte certains standards du marché relatifs aux pratiques de confidentialité en ligne.
- clé privée
- En sécurité informatique, partie secrète d'une paire de clés cryptographiques utilisées avec un algorithme de clé publique. La clé privée est uniquement connue de son propriétaire. Les clés privées sont généralement utilisées pour signer numériquement des données et pour déchiffrer des données chiffrées avec la clé publique correspondante. Voir aussi clé publique.
- clé publique
- Partie non secrète d'une paire de clés cryptographiques utilisée avec l'algorithme de clé publique. La clé publique est mise à la disposition de tous. Les clés publiques sont généralement utilisées pour vérifier les signatures numériques et pour chiffrer des données ne pouvant être déchiffrées qu'à l'aide de la clé privée correspondante. Voir aussi clé privée, infrastructure PKI.
- infrastructure PKI
- Système de certificats numériques, d'autorités de certification, et d'autres organismes d'enregistrement qui vérifient et authentifient la validité de chacune des parties impliquées dans une transaction réseau. Voir aussi clé publique.
R
- limite de chemin d'accès redondant
- Nombre maximal de fois où des examens identiques peuvent être examinés afin de réduire le temps d'analyse et d'éliminer les résultats en double.
- regex
- Voir expression régulière.
- expression régulière (regex)
- Ensemble de caractères, de métacaractères et d'opérateurs définissant une chaîne ou un groupe de chaînes dans un schéma de recherche.
- chemin relatif
- Chemin d'accès commençant par le répertoire de travail en cours.
- résolution
- Suggestion de correction d'un problème.
- analyse du risque
- Analyse des problèmes de sécurité trouvés dans une application Web. Voir aussi évaluation des risques.
- évaluation des risques
- Evaluation des avantages et conséquences d'une action ou d'un scénario. Voir aussi analyse du risque.
- gestion des risques
- Allocation optimale des ressources en vue de parvenir à un investissement approprié des mesures défensives au sein d'une organisation.
- sécurité maximale
- Caractérise un système qui gère les conditions exceptionnelles, telles que les anomalies des entrées, de façon efficace.
- autorité racine
- Point terminal du chemin de signature d'un certificat.
S
- examen
- Processus d'AppScan d'exploration et de test d'une application et de présentation des résultats.
- scanner
- Programme de sécurité automatisé qui recherche les vulnérabilités logicielles au sein d'applications Web.
- planning d'examen
- Heure et fréquence d'exécution automatique des examens.
- modèle d'examen
- Configuration d'examen pouvant être chargée pour être utilisée avec un examen.
- couche SSL
- Protocole de sécurité qui assure une confidentialité des communications. Il permet aux applications client/serveur de communiquer en toute confidentialité, sans risque d'écoute électronique, de contrefaçon et de falsification des messages. Voir aussi autorité de certification.
- audit de sécurité
- Evaluation technique mesurable systématique ou manuelle d'un système ou d'une application.
- risque pour la sécurité
- Succès potentiel d'une menace et dommage pouvant en découler.
- serveur
- Programme ou un ordinateur qui fournit des services à d'autres programmes ou ordinateurs. Voir aussi hôte.
- groupe de serveurs
- Groupe d'éléments, généralement des applications, qui peuvent être testés en tant qu'unité.
- technologie d'application côté serveur
- Technologie activée pour un serveur Web qui produit du contenu Web dynamique.
- inclusion côté serveur (SSI)
- Fonction permettant d'inclure des informations dynamiques dans des documents envoyés à des postes clients, telles que la date en cours, la date de dernière modification d'un fichier et la taille ou la date de dernière modification d'autres fichiers. Voir aussi injection SSI.
- injection côté serveur (injection SSI)
- Technique d'attaque qui exploite l'échec d'une application Web à nettoyer les données fournies par l'utilisateur avant qu'elles ne soient insérées dans un fichier HTML. Cette faille pourrait permettre à un agresseur d'exécuter des commandes arbitraires du système d'exploitation ou d'inclure le contenu d'un fichier restreint au prochain affichage de la page. Voir aussi inclusion SSI.
- cookie de session
- Cookie qui stocke des informations sous la forme d'une identification de session et n'identifie pas l'utilisateur personnellement. Il est stocké dans la mémoire temporaire et n'est pas conservé une fois le navigateur fermé.
- données d'identification de session
- Chaîne de données fournie par le serveur Web et stockée dans un cookie ou une adresse URL, identifiant un utilisateur et autorisant ce dernier à exécuter diverses actions.
- fixation de session
- Technique d'attaque qui permet à un agresseur de fixer (définir) l'identificateur de session d'un utilisateur et d'assumer son identité en ligne.
- ID session
- Voir identificateur de session.
- identificateur de session (ID session)
- Chaîne de données unique fournie par le serveur Web, utilisée dans les communications réseau pour identifier une session, et stockée dans un cookie ou une URL.
- jeton de session
- Identificateur envoyé par le navigateur en tant que paramètre ou cookie afin d'effectuer une corrélation entre un utilisateur et sa session en cours sur l'application web.
- évaluation de la gravité
- Niveau affecté par l'examen à un problème et indiquant le risque de sécurité qu'il représente.
- SQL
- Voir Structured Query Language.
- injection SQL
- Voir injection Structured Query Language.
- SSI
- Voir inclusion SSI.
- injection SSI
- Voir injection côté serveur.
- SSL
- Voir couche SSL
- injection furtive de commandes
- Technique d'attaque qui masque des commandes dangereuses via un cheval de Troie avec l'intention d'exécuter du code malveillant ou non autorisé, dommageable pour le site.
- Structured Query Language (SQL)
- Langage normalisé permettant de définir et de manipuler des données dans une base de données relationnelle. Voir aussi injection Structured Query Language.
- injection Structured Query Language (injection SQL)
- Technique d'attaque utilisée pour exploiter les sites web en altérant les instructions SQL en arrière plan via la manipulation des entrées de l'application. Voir aussi Structured Query Language.
- feuille de style
- Voir feuille de style.
- chiffrement par clé symétrique
- Système de cryptographie dans lequel l'émetteur et le destinataire d'un message partagent une clé secrète unique qui est utilisée pour chiffrer et déchiffrer le message.
M
- stratégie de test
- Stratégie qui limite l'examen à certaines catégories et types de tests.
- Etape de test
- Etape de l'examen pendant laquelle les objets et la logique de l'application analysée sont soumis à un barrage total des techniques d'utilisation malveillantes générales, erronées, et simulées résultant d'un inventaire complet des vulnérabilités de sécurité.
- couche de transport
- Dans l'architecture OSI, couche qui fournit des services pour le contrôle de flux et la reprise entre des systèmes ouverts avec une qualité de service prévisible.
U
- UNC
- Voir convention de dénomination universelle.
- adresse URL
- Adresse unique d'une ressource d'information qui est accessible sur un réseau tel qu'Internet. L'adresse URL inclut le nom abrégé du protocole utilisé pour accéder à la ressource d'information et l'information utilisée par le protocole pour localiser la ressource d'information.
- convention de dénomination universelle (UNC)
- Nom du serveur et nom du réseau combinés. Ces noms identifient la ressource dans le domaine.
- URL
- Voir adresse URL.
- type d'utilisateur
- Description des capacités d'un utilisateur particulier et le rôle qu'il assume dans un dossier. Les types d'utilisateur incluent Utilisateur standard, Administrateur et Aucun accès. Voir aussi rôle du dossier.
T
- WCTP
- Voir Wireless Communications Transfer Protocol.
- validation de récupération de mot de passe faible
- Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur d'acquérir illégalement ou de modifier le mot de passe d'un autre utilisateur. Un cyber-attaquant peut déjouer le mécanisme de reprise d'un site Web lorsque l'information requise pour valider l'identité d'un utilisateur en vue de la récupération est facilement devinée ou contournée.
- serveur Web
- Logiciel permettant de traiter les requêtes HTTP (Hypertext Transfer Protocol).
- WCTP (Wireless Communications Transfer Protocol)
- Type de service utilisé pour transmettre des messages alphanumériques et binaires de et vers des systèmes filaires et des unités sans fil bidirectionnelles.
X
- XML Path Language (XPath)
- Langage destiné à identifier de façon unique les parties des données XML source, pour utilisation avec les technologies XML, telles que les analyseurs syntaxiques XSLT, XQuery et XML. XPath est un standard du World Wide Web Consortium. Voir aussi injection XPath.
- injection de langage XPath
- Technique d'attaque utilisée pour exploiter les sites Web qui construisent des requêtes XPath à partir des entrées utilisateur. Si une application incorpore dans la requête une entrée utilisateur non sécurisée, il est possible pour l'agresseur d'injecter des données dans la requête de façon à ce que cette requête nouvellement formée soit analysée différemment de l'intention du programmeur. Voir aussi langage XML Path.
- XML Rule Language (XRule)
- Chaîne de texte XML que l'examen doit rechercher sur un site Web.
- XPath
- Voir XML Path Language.
- injection XPath
- Voir injection de langage XML Path.
- XRule
- Voir langage XML Rule.
- XSS
- Voir attaque par script intersite.