Glossaire

Ce glossaire contient les termes utilisés dans le logiciel et les produits IBM Connections Docs, ainsi que leur définition.

Les références croisées suivantes sont employées dans ce glossaire :
  • Voir fait référence, dans le cas d'un terme, à un synonyme préféré ou, dans le cas d'un acronyme ou d'une abréviation, à la forme complète définie.
  • Voir également renvoie à un terme connexe ou opposé.

Pour d'autres termes et définitions, reportez-vous au site web de terminologie HCL (s'ouvre dans une nouvelle fenêtre).

Un

abus de fonctionnalité
Technique qui utilise les caractéristiques et fonctionnalités d'un site Web pour se servir des mécanismes de contrôle d'accès, les utiliser de façon frauduleuse ou les faire échouer.
cookie accepté
Cookie qui est accepté par un navigateur sans restriction.
contrôle d'accès
En sécurité informatique, processus permettant de vérifier que les utilisateurs ne peuvent accéder qu'aux ressources d'un système informatique auxquelles ils sont autorisés à accéder.
conseil
Document qui contient des informations et une analyse sur une menace ou une vulnérabilité.
applet
Programme qui effectue une tâche spécifique et peut généralement être déplacé d'un système d'exploitation à un autre. Souvent écrites en Java, les applets peuvent être téléchargées à partir d'Internet et exécutées dans un navigateur Web.
application
Un ou plusieurs programmes ou composants logiciels mettant à disposition une fonction au service d'un ou de plusieurs processus métier spécifiques. Voir également serveur d'applications.
serveur d'applications
Programme serveur dans un réseau réparti qui fournit l'environnement d'exécution pour une application. Voir également application.
compteur d'arborescence d'application
Suite de nombres entre parenthèses à côté de chaque noeud de l'arborescence d'application indiquant le nombre d'éléments de cette branche.
attaque
Tentative, par une personne non autorisée, de compromettre l'opération d'un logiciel ou d'un système en réseau. Voir également cyber-attaquant.
cyber-attaquant
Utilisateur (personne ou programme informatique) tentant d'endommager un système informatique ou d'accéder à des informations qui ne sont pas destinées à un accès public. Voir également attaque, cyber-attaquant.
point d'authentification
Ressource contenant un authentificateur (dans le cas d'une authentification par formulaire) ou dont l'accès a été obtenu à l'aide d'un authentificateur (dans le cas de HTTP, NT Lan Manager, ou validation par certificat).
authentificateur
Dans le protocole Kerberos, chaîne de données générée par le client et envoyée avec un ticket, qui est utilisée par le serveur pour certifier l'identité du client.

B

porte dérobée
Brèche dans la sécurité d'un système. Elle peut être utilisée par les pirates pour accéder aux informations sensibles ou par les programmeurs pour la maintenance et les tests.
expression booléenne
Expression qui a pour résultat une valeur booléenne. Voir également valeur booléenne.
Valeur booléenne
Valeur qui peut être soit vraie, soit fausse, selon qu'elle est codée en 1 ou en 0. Voir également expression booléenne.
contrôle d'accès rompu
Vulnérabilité provenant de la mise en oeuvre inadéquate de restrictions pour les utilisateurs authentifiés. Les agresseurs peuvent exploiter ces défauts pour accéder à d'autres comptes utilisateurs, consulter des fichiers sensibles ou utiliser des fonctions non autorisées.
authentification et gestion de session rompues
Problème qui survient lorsque des données d'identification de compte et des jetons de session ne sont pas correctement protégés. Les agresseurs peuvent compromettre les mots de passe, les clés, les cookies de session ou d'autres éléments et assumer d'autres identités utilisateur.
attaque par force brute
Attaque qui utilise une méthode répétitive d'essai et d'erreur pour obtenir le nom d'utilisateur et le mot de passe d'un compte valide sur une application Web. S'il y parvient, le cyber-attaquant peut alors accéder aux numéros de carte de crédit, aux clés de chiffrement, aux données de profil des documents confidentiels et aux outils utilisés pour gérer les privilèges utilisateur et le contenu de l'application Web.
dépassement de la mémoire tampon
Technique d'exploitation qui altère le flux d'une application en écrasant des parties de la mémoire. Les dépassements de la mémoire tampon sont une cause fréquente de problèmes au niveau logiciel.

C

AC (ou OC)
Voir autorité de certification.
certificat
Dans le domaine de la sécurité informatique, document numérique qui associe une clé publique à l'identité du propriétaire du certificat, permettant ainsi à ce dernier d'être authentifié. Un certificat est émis par une autorité de certification et signé numériquement par ce dernier. Voir aussi autorité de certification.
autorité de certification (AC), également connue sous le nom d'organisme de certification (AC)
Organisation ou société tiers certifiée émettant les certificats numériques. L'autorité de certification vérifie généralement l'identité des personnes qui reçoivent le certificat unique. Voir également certificat, Secure Sockets Layer.
liste de révocation de certificats (LRC)
Liste de certificats qui ont été révoqués avant leur date d'expiration planifiée. Les listes de révocation de certificat sont gérées par l'autorité de certification et utilisées, pendant l'établissement de liaison SSL pour garantir que les certificats impliqués n'ont pas été révoqués.
Conformité
Etat conforme aux spécifications logicielles et de sécurité établies sur des ordinateurs cibles, ou processus qui consiste à le faire.
fichier de configuration
Fichier spécifiant les caractéristiques d'un programme, d'une unité système, d'un système ou d'un réseau.
usurpation de contenu
Technique d'attaque utilisée pour tromper un utilisateur et lui faire croire que le contenu qui apparaît sur un site Web est légitime et ne provient pas d'une source externe.
contexte
Information relative à un problème qui est enregistrée pendant un examen.
cookie
Information stockée par le serveur sur une machine cliente et à laquelle il accède au cours des sessions suivantes. Les cookies permettent aux serveurs d'obtenir des informations spécifiques sur les clients.
ID cookie
Voir identificateur de cookie.
identificateur de cookie (ID cookie)
Identificateur unique affecté à un cookie découvert pendant un examen.
empoisonnement de cookie
Technique utilisée pour pratiquer le vol d'identité ou le détournement de session. En manipulant les informations stockées dans un cookie de navigateur, les pirates prennent l'identité de l'utilisateur et accèdent aux informations de cet utilisateur à des fins malveillantes.
prédiction des données d'identification
Méthode de détournement ou d'usurpation d'identité pratiquée à l'encontre d'un utilisateur de site web en devinant la valeur unique qui identifie une session ou un utilisateur spécifiques.
LRC
Voir liste de révocation de certificats.
attaque par script intersite (XSS)
Technique d'attaque qui force un site Web à répercuter les données fournies par un client et qui s'exécute dans le navigateur Web de l'utilisateur.
page d'erreur personnalisée
Fonction de la plupart des logiciels de serveur Web permettant à l'utilisateur de remplacer des messages d'erreur par défaut par des messages personnalisés conçus pour l'application.

D

tableau de bord
Interface qui intègre les données de toute une variété de sources et affiche de façon cohérente des informations pertinentes et contextuelles.
Data Encryption Standard (DES)
Algorithme de cryptographie conçu pour chiffrer et déchiffrer les données à l'aide d'une clé privée.
attaque par refus de service
En sécurité informatique, attaque contre un réseau qui interrompt un ou plusieurs hôtes, ces hôtes n'étant plus en mesure de fonctionner correctement. Le service réseau est interrompu pendant un certain temps.
cookie refusé
Cookie dont les informations ne seront pas disponibles pour être stockées et retransmises au domaine spécifié.
profondeur
Nombre de clics requis pour qu'un utilisateur ou un moteur de balayage automatique passe d'une page source à une page cible.
DES
Voir Data Encryption Standard.
signature numérique
Informations chiffrées avec une clé privée et ajoutées à un message ou un objet pour garantir au destinataire l'authenticité et l'intégrité du message ou de l'objet. La signature numérique prouve que le message ou l'objet a été signé par l'entité qui détient ou a accès à la clé privé ou à la clé symétrique à secret partagé.
indexation de répertoire
Fonction de serveur web qui affiche le contenu d'un répertoire lorsqu'il n'y a pas de page d'index.
DNS
Voir Domain Name System.
déclaration de type de document
Déclaration de marquage contenant la spécification officielle pour la définition de type de document.
Domaine
Sur Internet, partie de la hiérarchie de désignation dans laquelle le nom de domaine se compose d'une séquence de noms (libellés) séparés par des points.
Nom du domaine
Dans les communications Internet, nom d'un système hôte. Un nom de domaine se compose d'une séquence de noms secondaires séparés par un délimiteur, par exemple, www.hcl.com. Voir également système de noms de domaine.
DNS (Domain Name System)
Système de base de données distribué qui mappe les noms de domaine aux adresses IP. Voir également nom de domaine.
DoS
Voir attaque par refus de service.
cookie diminué
Cookie dont l'état est passé de cookie persistant à cookie de session.

é

attaque de codage
Technique d'exploitation qui facilite l'attaque en modifiant le format des données fournies par l'utilisateur afin d'ignorer les filtres de contrôle d'exactitude.
chiffrement
Dans le cadre de la sécurité informatique, processus de transformation des données dans un format incompréhensible de sorte que les données d'origine ne puissent pas être extraites ou puissent l'être par le biais d'un processus de déchiffrement uniquement.
expansion d'entité
Type d'attaque par refus de service au niveau XML qui amène les serveurs d'applications à renvoyer par écho les données utilisateurs.
exporter
Sauvegarder une copie du document, de la base de données ou d'une image en cours dans le format de fichier requis par une autre application.
exposition
Degré d'accessibilité des informations à l'aide de méthodes autorisées ou non autorisées.
domaine externe
Domaine qui a une adresse URL différente, jusqu'à la première barre oblique inversée, par comparaison avec l'adresse URL de démarrage du site examiné.

F

faux positif
Résultat de test classé comme positif (indiquant que le site est vulnérable aux attaques) et que l'utilisateur décide de classer comme négatif (il ne s'agit pas d'une vulnérabilité).
WebSphere Commerce
Ensemble de données associées qui sont stockées et extraites à l'aide d'un nom spécifique.
recommandation de correction
Détails spécifiques et techniques relatifs à la correction d'une application Web afin de la sécuriser contre le problème découvert.
état corrigé
Etat qui indique qu'un problème a été corrigé.
rôle du dossier
Ensemble de permissions qui s'appliquent à tous les travaux, ensembles de rapports et tableaux de bord au sein du dossier. Voir aussi type d'utilisateur.
exploration forcée
Voir emplacement de ressource prévisible.
attaque de type chaîne de format
Attaque qui altère le flux d'une application en utilisant des fonctions de bibliothèque de formatage de chaîne pour accéder à davantage d'espace mémoire. Les vulnérabilités se produisent lorsque les données fournies par l'utilisateur sont utilisées directement comme entrées de chaîne de formatage pour certaines fonctions C/C++ notamment fprintf, printf, sprintf.

G

GET
Sous HTTP, paramètre de l'attribut METHOD de la balise <FORM> qui spécifie qu'un navigateur va ajouter les données de formulaire à la fin d'une adresse URL lors de l'envoi des données de formulaire à un serveur.

H

hacker
Personne non autorisée tentant d'accéder à des ressources protégées sur un système. Voir également cyber-attaquant.
caractère dangereux
Caractère utilisé pour procéder à des attaques d'application Web, telles que des injections XSS ou SQL.
paramètre masqué
Paramètre de formulaire HTML non rendu dans la page Web.
zone masquée
Zone d'un fichier d'affichage utilisée par le programme mais non affichée.
hôte
Ordinateur connecté à un réseau et qui fournit un point d'accès à ce réseau. Il peut s'agir d'un client, d'un serveur, ou des deux. Voir aussi serveur.
nom d'hôte
Dans la communication Internet, nom donné à un ordinateur. Le nom d'hôte peut être un nom de domaine complet tel que monordinateur.ville.société.com ou un sous-nom spécifique tel que monordinateur.

I

fuite d'informations
Divulgation de données sensibles sur un site web, qui pourrait aider un agresseur à exploiter l'application.
faille d'injection
Faille qui permet à des agresseurs d'envoyer du code malveillant à un système externe via une application Web.
stockage non sécurisé
Informations et données d'identification stockées sur le disque dur d'un client et qui n'ont pas été protégées à l'aide de fonctions cryptographiques.
détection en session
Détection du schéma En session dans les réponses reçues par AppScan, afin de vérifier qu'il est toujours connecté.
schéma en session
Schéma identifié dans la page de connexion, tel qu'un lien de déconnexion, qu'AppScan peut utiliser pour vérifier qu'il est toujours connecté.
anti-automatisation insuffisante
Ce qui se passe lorsqu'un site Web permet à un agresseur d'automatiser un processus qui devrait uniquement être exécuté manuellement.
authentification insuffisante
Vulnérabilité qui se produit lorsqu'un site web permet à un agresseur d'accéder à du contenu ou des fonctionnalités sensibles, par exemple un outil d'administration Web, sans authentifier correctement les permissions d'accès de l'agresseur.
autorisation insuffisante
Vulnérabilité qui se produit lorsqu'un site web autorise l'accès à un contenu ou à des fonctionnalités sensibles qui devraient être assortis de restrictions d'accès.
validation de processus insuffisante
Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur d'ignorer la séquence d'étapes prévue d'une application.
expiration de session insuffisante
Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur de réutiliser d'anciens identificateurs de session pour le processus d'autorisation.
domaine interne
Domaine qui est inclus dans l'examen de contenu et qui apparaît dans la liste des adresses URL de départ.
test invasif
Test facultatif qui, s'il est exécuté sur l'application, peut créer une situation de déni de service.
problème
Risque de sécurité auquel une application Web est vulnérable, ou informations potentiellement sensibles visibles par des utilisateurs non autorisés.
ID problème
Voir identificateur de problème.
identificateur de problème (ID problème)
Numéro affecté à chaque instance d'un problème détecté pendant un examen de contenu.

A

propriétaire de travail
Personne ou groupe responsable de la réalisation complète d'un travail.

S

key
Valeur mathématique cryptographique utilisée pour signer numériquement, vérifier, chiffrer ou déchiffrer un message.
protocole d'échange de clé
Protocole régissant la façon dont les deux parties échangent les clés à utiliser pour sécuriser une transaction. Une fois les clés échangées, les données peuvent être chiffrées du côté de l'expéditeur et déchiffrées du côté du destinataire.
longueur de clé
Mesure de la taille des données qui composent une clé. Cette mesure détermine le niveau de sécurité de la clé. Les clés longues, les clés 128 bits par exemple, sont considérées plus difficiles à casser que les clés courtes (48 bits).

L

LDAP
Voir Lightweight Directory Access Protocol.
Injection LDAP
Voir injection Lightweight Directory Access Protocol.
cookie dédié
Cookie accepté lors du téléchargement d'un document sur un premier site et bloqué si ce document est téléchargé à partir d'un autre site.
Lightweight Directory Access Protocol (LDAP)
Protocole ouvert qui utilise le protocole TCP/IP pour fournir l'accès aux annuaires prenant en charge un modèle X.500 et qui n'est pas soumis aux exigences de ressource du protocole DAP X.500, plus complexe. Par exemple, LDAP permet de rechercher des personnes, des entreprises et d'autres ressources dans un annuaire Internet ou intranet. Voir aussi injection Lightweight Directory Access Protocol.
injection Lightweight Directory Access Protocol (injection LDAP)
Technique d'attaque utilisée pour exploiter les sites Web qui créent des instructions LDAP à partir des entrées utilisateur. Voir aussi Lightweight Directory Access Protocol.
lien
En hypertexte, association définie par le rédacteur entre deux noeuds d'informations.
séquence de connexion
Séquence enregistrée automatiquement ou manuellement d'adresses URL et d'entrées utilisateur permettant à AppScan de se connecter à une application Web.
longdesc
Voir description longue.
description longue (longdesc)
Attribut HTML utilisé dans l'élément d'image, l'élément de cadre ou l'élément iframe. Il associe une description d'image avec le code qui place l'image dans la page Web. Voir aussi texte alternatif.

I

manipulation
Modification, par un cyber-attaquant, d'un élément de données, d'un groupe d'éléments, d'une action ou d'un groupe d'actions sur la base d'une ou de plusieurs propriétés. Par exemple, la modification d'une entrée en supprimant un argument obligatoire ou la réalisation d'étapes irrégulières.
exploration manuelle
Processus d'exploration manuelle d'une application Web permettant d'accéder aux parties du site dépendantes des entrées d'un utilisateur réel et de les tester.
Type MIME
Standard utilisé pour identifier le type d'objet transféré sur Internet.
examen en plusieurs phases
Examen comprenant deux phases ou plus. Voir aussi phase.

N

piste de navigation
Objet qui montre le chemin vers la page en cours.
état bruit
Etat indiquant un problème qui n'a pas lieu d'être et ne doit plus être considéré comme un problème. L'état bruit peut indiquer un faux positif.

O

injection de commandes du système d'exploitation
Technique utilisée pour exploiter les sites web en exécutant les commandes du système d'exploitation via la manipulation des entrées de l'application.
injection de commandes OS
Voir injection de commandes du système d'exploitation.

P

P3P
Voir plateforme des préférences de confidentialité.
stratégie compacte P3P
Liste de codes à trois ou quatre lettres qui communiquent les règles de confidentialité d'une page web au navigateur. Les codes indiquent quel type d'informations est collecté par un cookie et à qui l'information est distribuée. Voir aussi plateforme des préférences de confidentialité.
altération des paramètres
Technique d'attaque utilisée pour modifier les paramètres d'adresse URL d'un site. Les hackers utilisent l'altération de paramètres pour réaliser des actions frauduleuses.
analyse syntaxique
Processus de décomposition d'une chaîne d'informations, telle qu'une commande ou un fichier, en parties constituant cette chaîne.
chemin
Partie de l'adresse URL pointant vers l'emplacement d'une ressource Internet.
filtrage de chemin
Processus de filtrage ou d'inclusion de pages selon un ensemble de critères.
survol de chemin
Technique d'attaque qui altère l'emplacement d'une ressource ou d'un document dans une URL et impose l'accès à des fichiers, répertoires et commandes situés en dehors du répertoire racine du document Web.
test d'effraction
Méthode d'évaluation de la sécurité d'une application Web par la simulation d'une attaque par un pirate.
droit
Autorisation d'exécution d'activités, telles que la lecture et l'écriture de fichiers locaux, la création de connexions réseau et le chargement d'un code natif.
cookie persistant
Cookie stocké sur l'ordinateur d'un utilisateur jusqu'à son expiration ou jusqu'à sa suppression par l'utilisateur. Les cookies persistants sont utilisés pour collecter des informations d'identification sur l'utilisateur pour un site web spécifique, par exemple ses préférences ou son comportement de surfing sur le web.
phase
Processus incluant l'étape d'exploration et l'étape de test d'un examen. Voir aussi examen en plusieurs phases.
limite de phase
Nombre maximal de phases autorisées dans un examen. La limite est configurable.
PKI
Voir infrastructure PKI.
plateforme des préférences de confidentialité (P3P)
Spécification W3C (World Wide Web Consortium) qui permet aux sites Web de définir leurs pratiques de confidentialité selon un format standard. Pour davantage d'informations, voir le site web du projet P3P (http://www.w3.org/P3P/). Voir aussi stratégie compacte P3P.
port
Point terminal pour la communication entre les applications, généralement associé à une connexion logique. Un port fournit des files d'attente pour envoyer et recevoir des données. Chaque port a un numéro de port qui permet de l'identifier.
POST
Sous HTTP, paramètre de l'attribut METHOD et de la balise FORM qui spécifie qu'un navigateur enverra des données de formulaire à un serveur dans une transaction HTTP séparée de celle de l'URL associée.
Emplacement de ressource prévisible
Technique d'attaque destinée à découvrir les fonctionnalités et le contenu masqués d'un site Web. L'attaque cherche le contenu dans des emplacements standard non destinés à une consultation publique, notamment les fichiers temporaires, les fichiers de sauvegarde, les fichiers de configuration ou les fichiers échantillon.
label de confidentialité
Logo indiquant que l'organisation qui l'affiche sur son site web respecte certains standards du marché relatifs aux pratiques de confidentialité en ligne.
clé privée
En sécurité informatique, partie secrète d'une paire de clés cryptographiques utilisées avec un algorithme de clé publique. La clé privée est uniquement connue de son propriétaire. Les clés privées sont généralement utilisées pour signer numériquement des données et pour déchiffrer des données chiffrées avec la clé publique correspondante. Voir aussi clé publique.
clé publique
Partie non secrète d'une paire de clés cryptographiques utilisée avec l'algorithme de clé publique. La clé publique est mise à la disposition de tous. Les clés publiques sont généralement utilisées pour vérifier les signatures numériques et pour chiffrer des données ne pouvant être déchiffrées qu'à l'aide de la clé privée correspondante. Voir aussi clé privée, infrastructure PKI.
infrastructure PKI
Système de certificats numériques, d'autorités de certification, et d'autres organismes d'enregistrement qui vérifient et authentifient la validité de chacune des parties impliquées dans une transaction réseau. Voir aussi clé publique.

R

limite de chemin d'accès redondant
Nombre maximal de fois où des examens identiques peuvent être examinés afin de réduire le temps d'analyse et d'éliminer les résultats en double.
regex
Voir expression régulière.
expression régulière (regex)
Ensemble de caractères, de métacaractères et d'opérateurs définissant une chaîne ou un groupe de chaînes dans un schéma de recherche.
chemin relatif
Chemin d'accès commençant par le répertoire de travail en cours.
résolution
Suggestion de correction d'un problème.
analyse du risque
Analyse des problèmes de sécurité trouvés dans une application Web. Voir aussi évaluation des risques.
évaluation des risques
Evaluation des avantages et conséquences d'une action ou d'un scénario. Voir aussi analyse du risque.
gestion des risques
Allocation optimale des ressources en vue de parvenir à un investissement approprié des mesures défensives au sein d'une organisation.
sécurité maximale
Caractérise un système qui gère les conditions exceptionnelles, telles que les anomalies des entrées, de façon efficace.
autorité racine
Point terminal du chemin de signature d'un certificat.

S

examiner
Processus d'AppScan d'exploration et de test d'une application et de présentation des résultats.
scanner
Programme de sécurité automatisé qui recherche les vulnérabilités logicielles au sein d'applications Web.
planning d'examen
Heure et fréquence d'exécution automatique des examens.
modèle d'examen
Configuration d'examen pouvant être chargée pour être utilisée avec un examen.
couche SSL
Protocole de sécurité qui assure une confidentialité des communications. Le protocole SSL permet aux applications client/serveur de communiquer en évitant les écoutes, la violation et la falsification des messages. Voir aussi autorité de certification.
audit de sécurité
Evaluation technique mesurable systématique ou manuelle d'un système ou d'une application.
risque pour la sécurité
Succès potentiel d'une menace et dommage pouvant en découler.
serveur
Programme ou un ordinateur qui fournit des services à d'autres programmes ou ordinateurs. Voir aussi hôte.
groupe de serveurs
Groupe d'éléments, généralement des applications, qui peuvent être testés en tant qu'unité.
technologie d'application côté serveur
Technologie activée pour un serveur Web qui produit du contenu Web dynamique.
inclusion côté serveur (SSI)
Fonction permettant d'inclure des informations dynamiques dans des documents envoyés à des postes clients, telles que la date en cours, la date de dernière modification d'un fichier et la taille ou la date de dernière modification d'autres fichiers. Voir aussi injection SSI.
injection côté serveur (injection SSI)
Technique d'attaque qui exploite l'échec d'une application Web à nettoyer les données fournies par l'utilisateur avant qu'elles ne soient insérées dans un fichier HTML. Cette faille pourrait permettre à un agresseur d'exécuter des commandes arbitraires du système d'exploitation ou d'inclure le contenu d'un fichier restreint au prochain affichage de la page. Voir aussi inclusion SSI.
cookie de session
Cookie qui stocke des informations sous la forme d'une identification de session et n'identifie pas l'utilisateur personnellement. Il est stocké dans la mémoire temporaire et n'est pas conservé une fois le navigateur fermé.
données d'identification de session
Chaîne de données fournie par le serveur Web et stockée dans un cookie ou une adresse URL, identifiant un utilisateur et autorisant ce dernier à exécuter diverses actions.
fixation de session
Technique d'attaque qui permet à un agresseur de fixer (définir) l'identificateur de session d'un utilisateur et d'assumer son identité en ligne.
ID session
Voir identificateur de session.
identificateur de session (ID session)
Chaîne unique de données fournie par le serveur Web, utilisée dans les communications réseau pour identifier une session et stockée dans un cookie ou une URL.
jeton de session
Identificateur envoyé par le navigateur en tant que paramètre ou cookie afin d'effectuer une corrélation entre un utilisateur et sa session en cours sur l'application web.
évaluation de la gravité
Niveau affecté par l'examen à un problème et indiquant le risque de sécurité qu'il représente.
SQL
Voir Structured Query Language.
Injection SQL
Voir injection Structured Query Language.
SSI
Voir inclusion SSI.
Injection SSI
Voir injection côté serveur.
SSL
Voir couche SSL
injection furtive de commandes
Technique d'attaque qui masque des commandes dangereuses via un cheval de Troie avec l'intention d'exécuter du code malveillant ou non autorisé, dommageable pour le site.
Structured Query Language (SQL)
Langage normalisé permettant de définir et de manipuler des données dans une base de données relationnelle. Voir aussi injection Structured Query Language.
injection Structured Query Language (injection SQL)
Technique d'attaque utilisée pour exploiter les sites web en altérant les instructions SQL en arrière plan via la manipulation des entrées de l'application. Voir aussi Structured Query Language.
feuille de style
Voir feuille de style.
chiffrement par clé symétrique
Système de cryptographie dans lequel l'émetteur et le destinataire d'un message partagent une clé secrète unique qui est utilisée pour chiffrer et déchiffrer le message.

M

stratégie de test
Stratégie qui limite l'examen à certaines catégories et types de tests.
Etape de test
Etape de l'examen pendant laquelle les objets et la logique de l'application analysée sont soumis à un barrage total des techniques d'utilisation malveillantes générales, erronées, et simulées résultant d'un inventaire complet des vulnérabilités de sécurité.
couche de transport
Dans l'architecture OSI, couche qui fournit des services pour le contrôle de flux et la reprise entre des systèmes ouverts avec une qualité de service prévisible.

U

UNC
Voir convention de dénomination universelle.
adresse URL
Adresse unique d'une ressource d'information qui est accessible sur un réseau tel qu'Internet. L'adresse URL inclut le nom abrégé du protocole utilisé pour accéder à la ressource d'information et l'information utilisée par le protocole pour localiser la ressource d'information.
convention de dénomination universelle (UNC)
Nom du serveur et nom du réseau combinés. Ces noms identifient la ressource dans le domaine.
URL
Voir adresse URL.
type d'utilisateur
Description des capacités d'un utilisateur particulier et le rôle qu'il assume dans un dossier. Les types d'utilisateur incluent Utilisateur standard, Administrateur et Aucun accès. Voir aussi rôle du dossier.

T

WCTP
Voir Wireless Communications Transfer Protocol.
validation de récupération de mot de passe faible
Vulnérabilité qui se produit lorsqu'un site Web permet à un agresseur d'acquérir illégalement ou de modifier le mot de passe d'un autre utilisateur. Un cyber-attaquant peut déjouer le mécanisme de reprise d'un site Web lorsque l'information requise pour valider l'identité d'un utilisateur en vue de la récupération est facilement devinée ou contournée.
serveur Web
Logiciel permettant de traiter les requêtes HTTP (Hypertext Transfer Protocol).
WCTP (Wireless Communications Transfer Protocol)
Type de service utilisé pour transmettre des messages alphanumériques et binaires de et vers des systèmes filaires et des unités sans fil bidirectionnelles.

X

XML Path Language (XPath)
Langage destiné à identifier de façon unique les parties des données XML source, pour utilisation avec les technologies XML, telles que les analyseurs syntaxiques XSLT, XQuery et XML. XPath est un standard du World Wide Web Consortium. Voir aussi injection XPath.
injection de langage XPath
Technique d'attaque utilisée pour exploiter les sites Web qui construisent des requêtes XPath à partir des entrées utilisateur. Si une application incorpore dans la requête une entrée utilisateur non sécurisée, il est possible pour l'agresseur d'injecter des données dans la requête de façon à ce que cette requête nouvellement formée soit analysée différemment de l'intention du programmeur. Voir aussi langage XML Path.
XML Rule Language (XRule)
Chaîne de texte XML que l'examen doit rechercher sur un site Web.
XPath
Voir XML Path Language.
injection XPath
Voir injection de langage XML Path.
XRule
Voir langage XML Rule.
XSS
Voir attaque par script intersite.