Glossaire

Ce glossaire explique les termes et acronymes utilisés dans la documentation et l'interface utilisateur AppScan® Standard.

contrôle d'accès: En sécurité informatique, processus permettant de vérifier que les utilisateurs ne peuvent accéder qu'aux ressources d'un système informatique auxquelles ils sont autorisés à accéder.
connexion basée sur les actions: Ce type de réexécution de la connexion reproduit les actions effectuées lorsque vous avez enregistré la séquence de connexion et constitue généralement la méthode de connexion préférée.
lecteur basé sur les actions: Navigateur comportant deux sous-fenêtres dans lequel la connexion basée sur les actions est réexécutée à des fins de vérification et de traitement des incidents. La sous-fenêtre de gauche affiche la liste des actions et met en évidence celle qui est en cous d'exécution ; celle de droite affiche le résultat de l'action en cours.
conseil: Document qui contient des informations et une analyse sur une menace ou une vulnérabilité.
cycle de vie de l'application: Succession d'étapes par lesquelles passe un produit, de son développement à sa production.
serveur d'applications: Programme serveur dans un réseau réparti qui fournit l'environnement d'exécution pour une application.
test d'application: Type de test mettant en évidence une logique d'application et les problèmes résultant d'un développement d'application non sécurisé.
arborescence de l'application: Affichage de l'arborescence d'une structure d'application Web, comprenant des répertoires et des fichiers.
attaque: Tentative, par une personne non autorisée, de compromettre l’opération d'un logiciel ou d'un système en réseau. Voir aussi pirate.
cyber-attaquant: Utilisateur (personne ou programme informatique) tentant d'endommager un système informatique ou d'accéder à des informations qui ne sont pas destinées à un accès public. Voir aussi, pirate informatique, attaque.
authentification: Processus de validation de l'identité d'un utilisateur ou d'un serveur.
Authentication Tester: Utilitaire de test de force brute (brute-force-like). L'un des outils PowerTools. Il détecte les combinaisons nom d’utilisateur-mot de passe faibles qui peuvent être utilisées pour accéder à l'application Web d'un utilisateur.
autorisation: Droit octroyé à un utilisateur pour utiliser ou communiquer avec un système informatique.

programme d'arrière-plan: Ensemble des composants de support d'un système informatique, tels que le système de gestion de base de données.
boîte noire: Lorsque la sortie d'une application est examinée sans référence à son code interne, on peut décrire l'application comme une "boîte noire", et le test comme un "test de type boîte noire", car il considère l'application comme une boîte noire dont le contenu est invisible. Voir aussi "boîte blanche".
lien rompu: Lien renvoyant une réponse non valide lorsqu'il est sélectionné.
force brute: Attaque par un programme qui essaie toutes les données d'identification possibles pour compromettre la sécurité d'un système.
mémoire tampon: Segment de mémoire réservé utilisé pour mettre en attente des données lors de son exécution.
dépassement de la mémoire tampon: Technique d'exploitation qui altère le flux d'une application en écrasant des parties de la mémoire. Les dépassements de la mémoire tampon sont une cause fréquente de problèmes au niveau logiciel.

sensible à la casse: Capacité de distinguer entre les lettres majuscules et minuscules.
CGI: Voir Common Gateway Interface.
codage de caractères: Ensemble de caractères consistant en un code plaçant la séquence de caractères par paire d'un ensemble donné et d'un autre élément, tel qu'une séquence de nombres, d'octets ou d'impulsions électriques. Le codage facilite le stockage et la transmission de texte par des réseaux de télécommunication.
nœud enfant: Nœud situé dans un autre nœud.
client: Poste de travail de l'utilisateur qui est connecté à un réseau. Voir aussi hôte.
côté client: Appartenance à une opération exécutée sur l'application client et non sur le serveur.
injection de code: Technique d'introduction d'un nouveau code dans une application. L'injection de code peut être utilisée par un pirate pour introduire un code dans un programme informatique afin de modifier le cours de l'exécution.
Common Gateway Interface (CGI): Norme Internet de définition de scripts communiquant des informations d'un serveur Web vers un programme d'application par le biais d'une requête HTTP, et inversement.
délai d'attente de communication: Fin prévue d'une tâche incomplète après attente d'un temps donné.
connexion simultanée: Connexion se produisant en même temps que d'autres connexions.
schéma de condition: Généralement, un schéma définit par l'expression régulière. L'expression régulière peut être utilisée pour trouver des éléments correspondant au schéma.
cookie: Information stockée par le serveur sur une machine cliente et à laquelle il accède au cours des sessions suivantes. Les cookies permettent aux serveurs d'obtenir des informations spécifiques sur les clients.
explorer: Rechercher des informations parmi des pages Web sur Internet ou sur un intranet.
attaque par script intersite (XSS): Technique d'attaque qui force un site Web à répercuter les données fournies par un client et qui s'exécute dans le navigateur Web de l'utilisateur.
page d'erreur personnalisée: Fonction de la plupart des logiciels de serveur Web permettant à l'utilisateur de remplacer des messages d'erreur par défaut par des messages personnalisés conçus pour l'application.
CVE: Common Vulnerabilities and Exposures. Liste des normes de l'industrie fournissant des noms usuels affectés à des expositions et vulnérabilités de sécurité publiquement connues.
CVSS: Common Vulnerability Scoring System. Infrastructure ouverte permettant d'attribuer un score pour le risque associé aux vulnérabilités.
CWE: Common Weakness Enumeration. Liste des normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues.

système de gestion de base de données (SGBD): Système logiciel contrôlant la création, l'organisation et la modification d'une base de données et l'accès aux données qui y sont stockées.
service de base de données: Service fournissant le stockage et l'extraction des données d'une base de données.
SGBD: Voir système de gestion de base de données.
commande de débogage: Fonction ou commande aidant à identifier des erreurs de programmation lors du processus de développement de l'application.
delta: Différence, ou valeur incrémentielle, entre deux instances.
attaque par refus de service (DoS): En sécurité informatique, attaque contre un réseau qui interrompt un ou plusieurs hôtes, ces hôtes n'étant plus en mesure de fonctionner correctement. Le service réseau est interrompu pendant un certain temps.
profondeur: Nombre de clics requis pour qu'un utilisateur ou un moteur de balayage automatique passe d'une page source à une page cible.
indexation de répertoire: Fonction de serveur Web qui affiche le contenu d'un répertoire lorsqu'il n'y a pas de page d'index.
traversée de répertoires: Technique utilisée pour exploiter des sites Web en accédant à des fichiers et des commandes sous le répertoire principal du document.
domaine: Sous-réseau de clients et de serveurs sous le contrôle d'une base de données de sécurité.
DoS: Voir attaque par refus de service.
fichier de vidage: Contenu de la mémoire sans formatage de rapport.

navigateur intégré: Navigateur Web intégré dans AppScan et s'ouvrant à l'aide d'une barre d'outils spéciale pour pouvoir être utilisé avec des images.
attaque de codage: Technique d'exploitation qui facilite l'attaque en modifiant le format des données fournies par l'utilisateur afin d'ignorer les filtres de contrôle d'exactitude.
Chiffrement: Processus consistant à transformer les données en un format non intelligible afin que les données originales ne puissent pas être obtenues ou puissent être obtenues uniquement à l'aide d'un processus de déchiffrement.
exclusion: Paramètre ou processus dont les valeurs sont exclues lors des tests.
exécutable: Fichier programme prêt à s'exécuter dans un environnement particulier.
paramètre d'exploration: Paramètre qui configure les paramètres gérant l'exploration d'une application par AppScan.
Etape d'exploration: Etape d'une analyse AppScan lors de laquelle la logique et les objets d'une application sont identifiés, avant le test.
exporter: Sauvegarder une copie d'une base de données, d'une image ou d'un document courant dans le format de fichier requis par une autre application.
mode de support étendu: Mode permettant à l'utilisateur d'enregistrer les options d'utilisation et le comportement ainsi que de sauvegarder les données dans un fichier afin de l'envoyer au support technique.

faux positif: Résultat de test classé comme positif (indiquant que le site est vulnérable aux attaques) et que l'utilisateur décide de classer comme négatif (il ne s'agit pas d'une vulnérabilité).
recommandation de correction: Détails spécifiques et techniques relatifs à la correction d'une application Web afin de la sécuriser contre le problème découvert.
Flash: Technique de programmation activant l'affichage de films et d'animations dans un navigateur Web en toute transparence.
propriété du formulaire: Valeur utilisée lorsque des formulaires sont renseignés automatiquement.
nom de chemin absolu: Nom d'un répertoire ou d'un fichier exprimé sous la forme d'une chaîne de répertoires et de fichiers et commençant par le répertoire principal.

interface graphique (GUI): Type d'interface présentant une représentation visuelle d'une scène réelle, le plus souvent un bureau, en combinant des graphiques haute définition, des unités de pointage, des barres de menus et d'autres menus, des fenêtres en cascade, des icônes et les relations objet-action.
GUI: Voir interface graphique.

codage en dur: Pratique de développement d'application de sortie d'intégration ou de configuration de données directement dans le code source d'un programme ou d'un autre objet exécutable.
caractère dangereux: Caractère utilisé pour procéder à des attaques d'application Web, telles que des injections XSS ou SQL.
paramètre masqué: Paramètre de formulaire HTML non rendu dans la page Web.
host: Ordinateur connecté à un réseau et qui fournit un point d'accès à ce réseau. L'hôte peut être un client, un serveur, ou un client et un serveur simultanément. Voir aussi client
élément de formulaire HTML: Elément permettant à l'utilisateur d'entrer des informations, telles que des zones de texte, des menus déroulants, des boutons d'option ou des cases à cocher, dans un formulaire.
requête HTTP: Requête envoyée au site lors de l'étape d'exploration ou de test de l'analyse.
réponse HTTP: Réponse envoyée par le serveur.

ID: Voir identificateur.
identificateur (ID): Un ou plusieurs caractères utilisés pour identifier ou nommer un élément de données et éventuellement indiquer certaines propriétés de cet élément de données.
import: Lire un fichier dans un format non natif de l'application en cours.
rapport sur les normes de l'industrie: Rapport des problèmes trouvés sur l'application Web de l'utilisateur et informations appropriées en fonction de la norme industrielle sélectionnée. Les rapports AppScan aux normes de l'industrie incluent les rapports SANS Top 20, OWASP Top 10 et WASC Threat Classification.
détection en session: Détection du schéma En session dans les réponses reçues par AppScan afin de vérifier qu'il est toujours connecté.
schéma en session: Schéma identifié dans la page de connexion, tel qu'un lien de déconnexion, qu’AppScan peut utiliser pour vérifier qu'il est toujours connecté.
anti-automatisation insuffisante: Ce qui se passe lorsqu'un site Web permet à un cyber-attaquant d'automatiser un processus qui devrait uniquement être exécuté manuellement.
URL interactive: Adresse URL incluant des formulaires à remplir manuellement par l'utilisateur.
test invasif: Test facultatif qui, s'il est exécuté sur l'application, peut créer une situation de déni de service.
problème: Risque pour la sécurité auquel une application Web est vulnérable, ou informations potentiellement sensibles visibles par des utilisateurs non autorisés.

Java™ applet: Applet écrit en Java et pouvant s'exécuter dans un navigateur Web à l'aide d'une machine virtuelle Java (JVM).
machine virtuelle Java (JVM): Implémentation logicielle d'un processeur qui exécute un code Java compilé (applets et applications).

extraction de liens: Analyse syntaxique ou exécution d'un code pour la reconnaissance et l'exécution de liens à partir d'une application Web.
séquence de connexion: Séquence d'entrées utilisateur permettant à AppScan de se connecter à votre application Web pour l'examiner. Il est recommandé d'enregistrer la connexion manuellement. AppScan réexécute ensuite cette séquence chaque fois qu'il doit se connecter au cours d'un examen. Lorsque vous enregistrez une séquence de connexion, AppScan analyse les actions et les demandes. Lors de la réexécution de la séquence de connexion, il tente (par défaut) de reproduire la connexion basée sur les actions. En cas d'échec, il revient à la connexion basée sur les demandes.

logiciel malveillant: Logiciel malveillant ou code exécutable téléchargé ou reçu sous la forme d'un fichier apparemment inoffensif.
manipulation: Modification, par un cyber-attaquant, d'un élément de données, d'un groupe d'éléments, d'une action ou d'un groupe d'actions sur la base d'une ou de plusieurs propriétés. Par exemple, la modification d'une entrée en supprimant un argument obligatoire ou la réalisation d'étapes irrégulières.
exploration manuelle: Processus d'exploration manuelle d'une application Web permettant d'accéder aux parties du site dépendantes des entrées d'un utilisateur réel et de les tester.
métacaractère: Caractère ASCII ayant une signification particulière lors du traitement d'un schéma. Ces caractères sont utilisés pour représenter des schémas de caractère à octet unique ou multi-octet pouvant être associés lors du traitement.
demande multiparties: Demande contenant plusieurs types de contenu. Pour réduire la consommation de mémoire superflue, certains types de contenu sont automatiquement exclus par filtrage des demandes multiparties au cours de l'examen. Vous pouvez configurer les types devant être exclus par filtrage dans Configuration > Configuration avancée > Filtre du type de contenu à plusieurs parties.
examen en plusieurs phases: Examen comprenant deux phases ou plus.
opération en plusieurs étapes: Séquence de demandes qui doivent être envoyées dans un ordre précis pour atteindre certaines parties de l'application. (Exemple : Ajouter un article au panier > Entrer les informations de règlement > Recevoir la confirmation de commande.) L'enregistrement de telles opérations en plusieurs étapes dans le cadre de la configuration des examens garantit l'examen de ces parties du site.

service réseau: Service transmettant des données ou fournissant une conversion de données dans un réseau.
NTLM: Voir Windows NT® LAN Manager.
dépassement numérique: Résultat d'un calcul arithmétique dépassant l'espace désigné pour le contenir.

nœud parent: Nœud contenant le nœud courant.
analyse syntaxique: Processus de décomposition d'une chaîne d'informations, telle qu'une commande ou un fichier, en parties constituant cette chaîne.
chemin: Partie de l'adresse URL pointant vers l'emplacement d'une ressource Internet.
filtrage de chemin: Processus de filtrage ou d'inclusion de pages selon un ensemble de critères.
traversée de répertoires: Technique d'attaque qui altère l'emplacement d'une ressource ou d'un document dans une adresse URL et impose l'accès à des fichiers, répertoires et commandes situés en dehors du répertoire racine du document Web.
pattern: Méthode de description d'un texte à identifier à l'aide d'une ou de plusieurs expressions régulières.
PCI: Voir Peripheral Component Interconnect.
test d'effraction: Méthode d'évaluation de la sécurité d'une application Web par la simulation d'une attaque par un pirate.
Peripheral Component Interconnect (architecture PCI): Bus local fournissant un chemin de données à fort débit entre le processeur et les services attachés.
droit: Autorisation d'exécution d'activités, telles que la lecture et l'écriture de fichiers locaux, la création de connexions réseau et le chargement d'un code natif.
code confidentiel (PIN): Dans le support de chiffrement, numéro unique affecté par une organisation à un individu et utilisé comme preuve de son identité. Les codes confidentiels sont généralement attribués par les organismes financiers à leurs clients.
phase: Processus incluant l'étape d'exploration et l'étape de test d'un examen.
limite de phase: Nombre maximal de phases autorisées dans un examen. La limite est configurable.
PIN: Code confidentiel (Personal Identification Number).
plate-forme: Combinaison d'un système d'exploitation et de matériel constituant l'environnement d'exploitation dans lequel s'exécute un programme.
port: Point terminal pour la communication entre les applications, généralement associé à une connexion logique. Un port fournit des files d'attente pour envoyer et recevoir des données. Chaque port a un numéro qui permet de l'identifier.
programme d'écoute des ports: Mécanisme permettant au produit de valider certains tests en écoutant des connexions hors limite.
Emplacement de ressource prévisible: Technique d'attaque destinée à découvrir les fonctionnalités et le contenu masqués d'un site Web. L'attaque cherche le contenu à des emplacements standard non destinés à une consultation publique, notamment les fichiers temporaires, les fichiers de sauvegarde, les fichiers de configuration ou les fichiers échantillon.
escalade des droits d'accès: Référence à des examens exécutés à l'aide de droits utilisateur différents permettant de contrôler si des ressources disposant de privilèges sont accessibles aux utilisateurs ayant des droits d'accès insuffisants.
invite: Message ou symbole affiché exigeant des informations ou une action utilisateur. L'utilisateur doit y répondre pour permettre au programme de continuer à s'exécuter.
proxy: Passerelle d'application d'un réseau à un autre pour une application réseau spécifique telle que Telnet ou FTP, dans laquelle le serveur Telnet proxy d'un pare-feu exécute une authentification de l'utilisateur, puis laisse le flux de trafic via le proxy comme si cet utilisateur n'existait pas. La fonction s'exécute dans le pare-feu et non sur le poste de travail client, occasionnant plus de charge dans le pare-feu.

limite de chemin d'accès redondant: Nombre maximal de fois où des examens identiques peuvent être examinés afin de réduire le temps d'analyse et éliminer les résultats en double.
expression régulière: Ensemble de caractères, de métacaractères et d'opérateurs définissant une chaîne ou un groupe de chaînes dans un schéma de recherche.
rapport sur la conformité légale: Rapport des problèmes trouvés sur une application Web et ne correspondant pas à une règle ou à une norme légale sélectionnée. Les règles comprennent des actes, des lois et des projets de loi légaux du Canada, de l'Union européenne, du Japon, du Royaume-Uni et des Etats-Unis, ainsi que des règles de MasterCard et Visa. Des modèles personnalisés de rapport sur la conformité légale peuvent également être créés.
chemin d'accès relatif: Chemin d'accès commençant par le répertoire de travail en cours.
résolution: Suggestion de correction d'un problème.
connexion basée sur les demandes: Ce type de réexécution de la connexion reproduit les demandes envoyées lorsque vous avez enregistré la séquence de connexion.
restriction: Type de filtre limitant un examen uniquement aux adresses URL répertoriées.
Result Expert: Fonction facultative pouvant être exécutée après un examen en vue d'ajouter des paramètres CVSS, des captures d'écran et d'autres informations à l'onglet Informations sur les problèmes des résultats de l'examen.
ingénierie inverse: Analyser une unité ou un système pour prendre connaissance des détails de sa conception, sa construction et son mode opératoire.
analyse du risque: Analyse des problèmes de sécurité trouvés dans une application Web.
évaluation des risques: Evaluation des avantages et conséquences d'une action ou d'un scénario.
gestion des risques: Allocation optimale des ressources en vue de parvenir à un investissement approprié des mesures défensives au sein d'une organisation.
rôle: Ensemble de droits.

assainir: Dans le cadre de la sécurité d'une application Web, nettoyer une entrée utilisateur de ses caractères dangereux avant de l'utiliser.
examen: Processus d'exploration et de test par AppScan d'une application et de présentation des résultats.
configuration des examens: Ensemble de paramètres AppScan définissant l'application ou le service et l'environnement de l'utilisateur ainsi que des méthodes d'examen choisies par l'utilisateur.
Scan Expert: Fonction facultative explorant le comportement de l'application et du réseau, et recommandant des modifications de configuration pour optimiser l'examen.
module d'analyse Scan Expert: Vérification unique effectuée par Scan Expert lors de son analyse.
évaluation Scan Expert: Evaluation Scan Expert de la configuration utilisateur.
modèle d'examen: Configuration d'examen pouvant être chargée pour être utilisée avec un examen.
planificateur: Serveur d'arrière-plan multitâche et multiprocesseurs conçu pour gérer la planification et le lancement de travaux, selon un calendrier simple.
audit de sécurité: Evaluation technique mesurable systématique ou manuelle d'un système ou d'une application.
risque pour la sécurité: Succès potentiel d'une menace et dommage pouvant en découler.
séquence: Liste d'adresses URL enregistrées.
session: Connexion logique ou virtuelle entre deux postes, logiciels ou unités d'un réseau permettant à ces deux éléments de communiquer et d'échanger des données. Voir aussi transaction
données d'identification de session: Chaîne de données fournie par le serveur Web et stockée dans un cookie ou une adresse URL, identifiant un utilisateur et autorisant ce dernier à exécuter diverses actions.
fixation de session: Technique d'attaque qui permet à un cyber-attaquant de fixer (définir) l'identificateur de session d'un utilisateur et d'assumer son identité en ligne.
détournement de session: Compromission d'une session utilisateur par un pirate. Le pirate peut réutiliser cette session volée pour se présenter comme l'utilisateur.
ID session: Voir identificateur de session
identificateur de session (ID session): Compromission d'une session utilisateur par un pirate. Le pirate peut réutiliser cette session volée pour se présenter comme l'utilisateur.
jeton de session: Identificateur envoyé par le navigateur en tant que paramètre ou cookie afin d'effectuer une corrélation entre un utilisateur et sa session en cours sur l'application Web. Voir aussi identificateur de session, jeton temporaire.
évaluation de la gravité: Niveau affecté par l'examen à un problème et indiquant le risque de sécurité qu'il représente.
Shell: Interface logicielle entre les utilisateurs et un système d'exploitation. Les shells font généralement partie de l'une des deux catégories suivantes : un shell de ligne de commande, qui fournit une interface de ligne de commande au système d'exploitation ; et un shell graphique, qui fournit une interface graphique.
code source: Programme informatique dans un format lisible. Le code source est converti en code binaire pouvant être utilisé par un ordinateur.
usurpation: Technique de simulation de l'adresse d'envoi d'une transmission afin d'obtenir un accès illégal à un système sécurisé.
SQL: Voir Structured Query Language.
injection SQL: Voir injection Structured Query Language.
étape: Partie d'une étape d'examen dans laquelle AppScan explore ou teste le site.
protocole apatride: Protocole ne conservant pas de relation entre des commandes. HTTP est un exemple de protocole apatride.
Structured Query Language (SQL): Langage normalisé servant à définir et manipuler les données dans une base de données relationnelle.
injection Structured Query Language (injection SQL): Technique d'attaque utilisée pour exploiter les sites Web en altérant les instructions SQL en arrière-plan via la manipulation des entrées de l'application.
syntaxe: Règles de construction d'une commande ou d'une instruction.

correctif de test: Correctif temporaire fourni à des clients spécifiques pour obtenir la réponse de test à un incident rapporté.
stratégie de test: Stratégie qui limite l'examen à certaines catégories et certains types de tests.
demande de test: Requête envoyée à l'application lors de l'étape de test de l'examen. Les demandes de test sont conçues pour révéler les vulnérabilités de sécurité.
Etape de test: Etape de l'examen pendant laquelle les objets et la logique de l'application analysée sont soumis à un barrage total des techniques d'utilisation malveillantes générales, erronées et simulées résultant d'un inventaire complet des vulnérabilités de sécurité.
thread: Flux d'instructions informatiques contrôlant un processus. Dans certains systèmes d'exploitation, une unité d'exécution est l'unité d'opération la plus petite d'un processus. Plusieurs unités d'exécution peuvent s'exécuter simultanément et effectuer des travaux différents.
menace: Problème de sécurité ou acte malveillant, tel que le déploiement d'un virus ou la pénétration illégale dans un réseau.
classe de menaces: Groupe de problèmes de sécurité, classés par catégories WASC-TC. Pour chaque classe de menaces, il existe de nombreux tests spécifiques ; et pour chaque test, de nombreuses variantes.
transaction: Demande faite à une application et réponse (de l'application) générée par cette demande.
jeton temporaire: Jeton dont la valeur change (il s'agit généralement d'un jeton de session). L'envoi d'un jeton temporaire arrivé à expiration pouvant provoquer la déconnexion d’AppScan de l'application qu'il teste, il doit donc les maintenir à jour. Voir aussi jeton de session.

adresse URL (Uniform Resource Locator): Adresse unique d'une ressource d'information qui est accessible sur un réseau tel qu'Internet. L'adresse URL inclut le nom abrégé du protocole utilisé pour accéder à la ressource d'information et l'information utilisée par le protocole pour localiser la ressource d'information.
UNIX®: Système d'exploitation hautement portable disposant de fonctions de multiprogrammation s'exécutant dans un environnement multi-utilisateurs. Le système d'exploitation UNIX a été initialement développé pour être utilisé sur des petits ordinateurs, mais a été adapté pour des grands systèmes et des micro-ordinateurs. Le système d'exploitation AIX® est une implémentation IBM du système d'exploitation UNIX.
URL: Voir adresse URL.
test défini par l'utilisateur: Test créé par un utilisateur en plus des tests créés et exécutés automatiquement.

validation: Processus consistant à vérifier qu'un test particulier est parvenu à atteindre son objectif ou a échoué.
vulnérabilité: Exposition de la sécurité dans un système d'exploitation, un logiciel système ou un composant de logiciel d'application.

application Web: Application accessible par un navigateur Web et fournissant certaines fonctions lors de l'affichage statique d'informations, par exemple en permettant à l'utilisateur d'analyser une base de données. Les composants communs d'une application Web comprennent des pages HTML, des pages JSP et des servlets.
Un navigateur Web: Programme client lançant des requêtes à un serveur Web et affichant les informations renvoyées par le serveur.
contenu Web: Fichiers et autres ressources composant un site Web. Le contenu Web peut comporter des fichiers d'images, des fichiers audio, des fichiers HTML, des fichiers JSP, des feuilles de style, des entrées de base de données ou tout autre élément pouvant être contenu dans un site Web.
sécurité Web: Théorie et pratique de la sécurité des informations par rapport au World Wide Web, au protocole HTTP et au logiciel d'application Web.
serveur Web: Programme capable de servir les demandes HTTP (Hypertext Transfer Protocol).
service Web: Application exécutant des tâches spécifiques et accessibles par le biais de protocoles ouverts tels que HTTP et SOAP.
Web Services Description Language (WSDL): Spécification basée sur XML décrivant des services réseau comme un ensemble de points finaux opérant sur des messages contenant des informations orientées document ou orientées procédure.
boîte blanche: Examen permettant d’analyser le code source d’une application, tel que le code JavaScript dans le cas d’une analyse statique. Voir aussi "black box".
Windows NT LAN Manager (NTLM): Protocole utilisé dans de nombreux protocoles réseau Microsoft® pour l'authentification.
WSDL: Voir Web Services Description Language.

XSS: Voir attaque par script intersite.