Glossaire

Ce glossaire explique les termes et acronymes utilisés dans la documentation et l'interface utilisateur AppScan® Standard.

A

contrôle d'accès
En sécurité informatique, processus permettant de vérifier que les utilisateurs ne peuvent accéder qu'aux ressources d'un système informatique auxquelles ils sont autorisés à accéder.
connexion basée sur les actions
Ce type de réexécution de la connexion reproduit les actions effectuées lorsque vous avez enregistré la séquence de connexion et constitue généralement la méthode de connexion préférée.
lecteur basé sur les actions
Navigateur comportant deux sous-fenêtres dans lequel la connexion basée sur les actions est réexécutée à des fins de vérification et de traitement des incidents. La sous-fenêtre de gauche affiche la liste des actions et met en évidence celle qui est en cous d'exécution ; celle de droite affiche le résultat de l'action en cours.
conseil
Document qui contient des informations et une analyse sur une menace ou une vulnérabilité.
cycle de vie de l'application
Succession d'étapes par lesquelles passe un produit, de son développement à sa production.
serveur d'applications
Programme serveur dans un réseau réparti qui fournit l'environnement d'exécution pour une application.
test d'application
Type de test mettant en évidence une logique d'application et les problèmes résultant d'un développement d'application non sécurisé.
arborescence de l'application
Affichage de l'arborescence d'une structure d'application Web, comprenant des répertoires et des fichiers.
attaque
Tentative, par une personne non autorisée, de compromettre l'opération d'un logiciel ou d'un système en réseau. Voir aussi pirate.
cyber-attaquant
Utilisateur (personne ou programme informatique) tentant d'endommager un système informatique ou d'accéder à des informations qui ne sont pas destinées à un accès public. Voir aussi, pirate informatique, attaque.
authentification
Processus de validation de l'identité d'un utilisateur ou d'un serveur.
Authentication Tester
Utilitaire de test de force brute (brute-force-like). L'un des outils PowerTools. Il détecte les combinaisons nom d’utilisateur-mot de passe faibles qui peuvent être utilisées pour accéder à l'application Web d'un utilisateur.
autorisation
Droit octroyé à un utilisateur pour utiliser ou communiquer avec un système informatique.

B

programme d'arrière-plan
Ensemble des composants de support d'un système informatique, tels que le système de gestion de base de données.
boîte noire
Lorsque la sortie d'une application est examinée sans référence à son code interne, on peut décrire l'application comme une "boîte noire", et le test comme un "test de type boîte noire", car il considère l'application comme une boîte noire dont le contenu est invisible. Voir aussi "boîte blanche".
lien rompu
Lien renvoyant une réponse non valide lorsqu'il est sélectionné.
force brute
Attaque par un programme qui essaie toutes les données d'identification possibles pour compromettre la sécurité d'un système.
mémoire tampon
Segment de mémoire réservé utilisé pour mettre en attente des données lors de son exécution.
dépassement de la mémoire tampon
Technique d'exploitation qui altère le flux d'une application en écrasant des parties de la mémoire. Les dépassements de la mémoire tampon sont une cause fréquente de problèmes au niveau logiciel.

C

sensible à la casse
Capacité de distinguer entre les lettres majuscules et minuscules.
CGI
Voir Common Gateway Interface.
codage de caractères
Ensemble de caractères consistant en un code plaçant la séquence de caractères par paire d'un ensemble donné et d'un autre élément, tel qu'une séquence de nombres, d'octets ou d'impulsions électriques. Le codage facilite le stockage et la transmission de texte par des réseaux de télécommunication.
nœud enfant
Nœud situé dans un autre nœud.
client
Poste de travail de l'utilisateur qui est connecté à un réseau. Voir aussi hôte.
côté client
Appartenance à une opération exécutée sur l'application client et non sur le serveur.
injection de code
Technique d'introduction d'un nouveau code dans une application. L'injection de code peut être utilisée par un pirate pour introduire un code dans un programme informatique afin de modifier le cours de l'exécution.
Common Gateway Interface (CGI)
Norme Internet de définition de scripts communiquant des informations d'un serveur Web vers un programme d'application par le biais d'une requête HTTP, et inversement.
délai d'attente de communication
Fin prévue d'une tâche incomplète après attente d'un temps donné.
connexion simultanée
Connexion se produisant en même temps que d'autres connexions.
schéma de condition
Généralement, un schéma définit par l'expression régulière. L'expression régulière peut être utilisée pour trouver des éléments correspondant au schéma.
cookie
Information stockée par le serveur sur une machine cliente et à laquelle il accède au cours des sessions suivantes. Les cookies permettent aux serveurs d'obtenir des informations spécifiques sur les clients.
explorer
Rechercher des informations parmi des pages Web sur Internet ou sur un intranet.
attaque par script intersite (XSS)
Technique d'attaque qui force un site Web à répercuter les données fournies par un client et qui s'exécute dans le navigateur Web de l'utilisateur.
page d'erreur personnalisée
Fonction de la plupart des logiciels de serveur Web permettant à l'utilisateur de remplacer des messages d'erreur par défaut par des messages personnalisés conçus pour l'application.
CVE
Common Vulnerabilities and Exposures. Liste des normes de l'industrie fournissant des noms usuels affectés à des expositions et vulnérabilités de sécurité publiquement connues.
CVSS
Common Vulnerability Scoring System. Infrastructure ouverte permettant d'attribuer un score pour le risque associé aux vulnérabilités.
CWE
Common Weakness Enumeration. Liste des normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues.

D

système de gestion de base de données (SGBD)
Système logiciel contrôlant la création, l'organisation et la modification d'une base de données et l'accès aux données qui y sont stockées.
service de base de données
Service fournissant le stockage et l'extraction des données d'une base de données.
SGBD
Voir système de gestion de base de données.
commande de débogage
Fonction ou commande aidant à identifier des erreurs de programmation lors du processus de développement de l'application.
delta
Différence, ou valeur incrémentielle, entre deux instances.
attaque par refus de service
En sécurité informatique, attaque contre un réseau qui interrompt un ou plusieurs hôtes, ces hôtes n'étant plus en mesure de fonctionner correctement. Le service réseau est interrompu pendant un certain temps.
profondeur
Nombre de clics requis pour qu'un utilisateur ou un moteur de balayage automatique passe d'une page source à une page cible.
indexation de répertoire
Fonction de serveur web qui affiche le contenu d'un répertoire lorsqu'il n'y a pas de page d'index.
traversée de répertoires
Technique utilisée pour exploiter des sites Web en accédant à des fichiers et des commandes sous le répertoire principal du document.
domaine
Sous-réseau de clients et de serveurs sous le contrôle d'une base de données de sécurité.
DoS
Voir attaque par refus de service.
fichier de vidage
Contenu de la mémoire sans formatage de rapport.

E

navigateur intégré
Navigateur Web intégré dans AppScan et s'ouvrant à l'aide d'une barre d'outils spéciale pour pouvoir être utilisé avec des images.
attaque de codage
Technique d'exploitation qui facilite l'attaque en modifiant le format des données fournies par l'utilisateur afin d'ignorer les filtres de contrôle d'exactitude.
chiffrement
Processus consistant à transformer les données en un format non intelligible afin que les données originales ne puissent pas être obtenues ou puissent être obtenues uniquement à l'aide d'un processus de déchiffrement.
exclusion
Paramètre ou processus dont les valeurs sont exclues lors des tests.
exécutable
Fichier programme prêt à s'exécuter dans un environnement particulier.
paramètre d'exploration
Paramètre qui configure les paramètres gérant l'exploration d'une application par AppScan.
Etape d'exploration
Etape d'une analyse AppScan lors de laquelle la logique et les objets d'une application sont identifiés, avant le test.
exporter
Sauvegarder une copie d'une base de données, d'une image ou d'un document courant dans le format de fichier requis par une autre application.
mode de support étendu
Mode permettant à l'utilisateur d'enregistrer les options d'utilisation et le comportement ainsi que de sauvegarder les données dans un fichier afin de l'envoyer au support technique.

F

faux positif
Résultat de test classé comme positif (indiquant que le site est vulnérable aux attaques) et que l'utilisateur décide de classer comme négatif (il ne s'agit pas d'une vulnérabilité).
recommandation de correction
Détails spécifiques et techniques relatifs à la correction d'une application Web afin de la sécuriser contre le problème découvert.
Flash
Technique de programmation activant l'affichage de films et d'animations dans un navigateur Web en toute transparence.
propriété du formulaire
Valeur utilisée lorsque des formulaires sont renseignés automatiquement.
nom de chemin absolu
Nom d'un répertoire ou d'un fichier exprimé sous la forme d'une chaîne de répertoires et de fichiers et commençant par le répertoire principal.

G

interface graphique (GUI)
Type d'interface présentant une représentation visuelle d'une scène réelle, le plus souvent un bureau, en combinant des graphiques haute définition, des unités de pointage, des barres de menus et d'autres menus, des fenêtres en cascade, des icônes et les relations objet-action.
GUI
Voir interface graphique.

H

codage en dur
Pratique de développement d'application de sortie d'intégration ou de configuration de données directement dans le code source d'un programme ou d'un autre objet exécutable.
caractère dangereux
Caractère utilisé pour procéder à des attaques d'application Web, telles que des injections XSS ou SQL.
paramètre masqué
Paramètre de formulaire HTML non rendu dans la page Web.
hôte
Ordinateur connecté à un réseau et qui fournit un point d'accès à ce réseau. Il peut s'agir d'un client, d'un serveur, ou des deux. Voir aussi client
élément de formulaire HTML
Elément permettant à l'utilisateur d'entrer des informations, telles que des zones de texte, des menus déroulants, des boutons d'option ou des cases à cocher, dans un formulaire.
requête HTTP
Requête envoyée au site lors de l'étape d'exploration ou de test de l'analyse.
réponse HTTP
Réponse envoyée par le serveur.

I

ID
Voir identificateur.
identificateur (ID)
Un ou plusieurs caractères utilisés pour identifier ou nommer un élément de données et éventuellement indiquer certaines propriétés de cet élément de données.
import
Lire un fichier dans un format non natif de l'application en cours.
rapport sur les normes de l'industrie
Rapport des problèmes trouvés sur l'application Web de l'utilisateur et informations appropriées en fonction de la norme industrielle sélectionnée. Les rapports AppScan aux normes de l'industrie incluent les rapports SANS Top 20, OWASP Top 10 et WASC Threat Classification.
détection en session
Détection du schéma En session dans les réponses reçues par AppScan afin de vérifier qu'il est toujours connecté.
schéma en session
Schéma identifié dans la page de connexion, tel qu'un lien de déconnexion, qu’AppScan peut utiliser pour vérifier qu'il est toujours connecté.
anti-automatisation insuffisante
Ce qui se passe lorsqu'un site Web permet à un agresseur d'automatiser un processus qui devrait uniquement être exécuté manuellement.
URL interactive
Adresse URL incluant des formulaires à remplir manuellement par l'utilisateur.
test invasif
Test facultatif qui, s'il est exécuté sur l'application, peut créer une situation de déni de service.
problème
Risque de sécurité auquel une application Web est vulnérable, ou informations potentiellement sensibles visibles par des utilisateurs non autorisés.

J

Java™ applet
Applet écrit en Java et pouvant s'exécuter dans un navigateur Web à l'aide d'une machine virtuelle Java (JVM).
machine virtuelle Java (JVM)
Implémentation logicielle d'un processeur qui exécute un code Java compilé (applets et applications).

L

extraction de liens
Analyse syntaxique ou exécution d'un code pour la reconnaissance et l'exécution de liens à partir d'une application Web.
séquence de connexion
Séquence d'entrées utilisateur permettant à AppScan de se connecter à votre application Web pour l'examiner. Il est recommandé d'enregistrer la connexion manuellement. AppScan réexécute ensuite cette séquence chaque fois qu'il doit se connecter au cours d'un examen. Lorsque vous enregistrez une séquence de connexion, AppScan analyse les actions et les demandes. Lors de la réexécution de la séquence de connexion, il tente (par défaut) de reproduire la connexion basée sur les actions. En cas d'échec, il revient à la connexion basée sur les demandes.

M

logiciel malveillant
Logiciel malveillant ou code exécutable téléchargé ou reçu sous la forme d'un fichier apparemment inoffensif.
manipulation
Modification, par un cyber-attaquant, d'un élément de données, d'un groupe d'éléments, d'une action ou d'un groupe d'actions sur la base d'une ou de plusieurs propriétés. Par exemple, la modification d'une entrée en supprimant un argument obligatoire ou la réalisation d'étapes irrégulières.
exploration manuelle
Processus d'exploration manuelle d'une application Web permettant d'accéder aux parties du site dépendantes des entrées d'un utilisateur réel et de les tester.
métacaractère
Caractère ASCII ayant une signification particulière lors du traitement d'un schéma. Ces caractères sont utilisés pour représenter des schémas de caractère à octet unique ou multi-octet pouvant être associés lors du traitement.
demande multiparties
Demande contenant plusieurs types de contenu. Pour réduire la consommation de mémoire superflue, certains types de contenu sont automatiquement exclus par filtrage des demandes multiparties au cours de l'examen. Vous pouvez configurer les types devant être exclus par filtrage dans Configuration > Configuration avancée > Filtre du type de contenu à plusieurs parties.
examen en plusieurs phases
Examen comprenant deux phases ou plus.
opération en plusieurs étapes
Séquence de demandes qui doivent être envoyées dans un ordre précis pour atteindre certaines parties de l'application. (Exemple : Ajouter un article au panier > Entrer les informations de règlement > Recevoir la confirmation de commande.) L'enregistrement de telles opérations en plusieurs étapes dans le cadre de la configuration des examens garantit l'examen de ces parties du site.

N

service réseau
Service transmettant des données ou fournissant une conversion de données dans un réseau.
NTLM
Voir Windows NT® LAN Manager.
dépassement numérique
Résultat d'un calcul arithmétique dépassant l'espace désigné pour le contenir.

P

nœud parent
Nœud contenant le nœud courant.
analyse syntaxique
Processus de décomposition d'une chaîne d'informations, telle qu'une commande ou un fichier, en parties constituant cette chaîne.
chemin
Partie de l'adresse URL pointant vers l'emplacement d'une ressource Internet.
filtrage de chemin
Processus de filtrage ou d'inclusion de pages selon un ensemble de critères.
survol de chemin
Technique d'attaque qui altère l'emplacement d'une ressource ou d'un document dans une URL et impose l'accès à des fichiers, répertoires et commandes situés en dehors du répertoire racine du document Web.
pattern
Méthode de description d'un texte à identifier à l'aide d'une ou de plusieurs expressions régulières.
PCI
Voir Peripheral Component Interconnect.
test d'effraction
Méthode d'évaluation de la sécurité d'une application Web par la simulation d'une attaque par un pirate.
Peripheral Component Interconnect (architecture PCI)
Bus local fournissant un chemin de données à fort débit entre le processeur et les services attachés.
droit
Autorisation d'exécution d'activités, telles que la lecture et l'écriture de fichiers locaux, la création de connexions réseau et le chargement d'un code natif.
code confidentiel (PIN)
Dans le support de chiffrement, numéro unique affecté par une organisation à un individu et utilisé comme preuve de son identité. Les codes confidentiels sont généralement attribués par les organismes financiers à leurs clients.
phase
Processus incluant l'étape d'exploration et l'étape de test d'un examen.
limite de phase
Nombre maximal de phases autorisées dans un examen. La limite est configurable.
PIN
Code confidentiel (Personal Identification Number).
plate-forme
Combinaison d'un système d'exploitation et de matériel constituant l'environnement d'exploitation dans lequel s'exécute un programme.
port
Point terminal pour la communication entre les applications, généralement associé à une connexion logique. Un port fournit des files d'attente pour envoyer et recevoir des données. Chaque port a un numéro de port qui permet de l'identifier.
programme d'écoute des ports
Mécanisme permettant au produit de valider certains tests en écoutant des connexions hors limite.
Emplacement de ressource prévisible
Technique d'attaque destinée à découvrir les fonctionnalités et le contenu masqués d'un site Web. L'attaque cherche le contenu dans des emplacements standard non destinés à une consultation publique, notamment les fichiers temporaires, les fichiers de sauvegarde, les fichiers de configuration ou les fichiers échantillon.
escalade des droits d'accès
Référence à des examens exécutés à l'aide de droits utilisateur différents permettant de contrôler si des ressources disposant de privilèges sont accessibles aux utilisateurs ayant des droits d'accès insuffisants.
invite
Message ou symbole affiché exigeant des informations ou une action utilisateur. L'utilisateur doit y répondre pour permettre au programme de continuer à s'exécuter.
proxy
Passerelle d'application d'un réseau à un autre pour une application réseau spécifique telle que Telnet ou FTP, dans laquelle le serveur Telnet proxy d'un pare-feu exécute une authentification de l'utilisateur, puis laisse le flux de trafic via le proxy comme si cet utilisateur n'existait pas. La fonction s'exécute dans le pare-feu et non sur le poste de travail client, occasionnant plus de charge dans le pare-feu.

R

limite de chemin d'accès redondant
Nombre maximal de fois où des examens identiques peuvent être examinés afin de réduire le temps d'analyse et d'éliminer les résultats en double.
expression régulière
Ensemble de caractères, de métacaractères et d'opérateurs définissant une chaîne ou un groupe de chaînes dans un schéma de recherche.
rapport sur la conformité légale
Rapport des problèmes trouvés sur une application Web et ne correspondant pas à une règle ou à une norme légale sélectionnée. Les règles comprennent des actes, des lois et des projets de loi légaux du Canada, de l'Union européenne, du Japon, du Royaume-Uni et des Etats-Unis, ainsi que des règles de MasterCard et Visa. Des modèles personnalisés de rapport sur la conformité légale peuvent également être créés.
chemin relatif
Chemin d'accès commençant par le répertoire de travail en cours.
résolution
Suggestion de correction d'un problème.
connexion basée sur les demandes
Ce type de réexécution de la connexion reproduit les demandes envoyées lorsque vous avez enregistré la séquence de connexion.
restriction
Type de filtre limitant un examen uniquement aux adresses URL répertoriées.
Result Expert
Fonction facultative pouvant être exécutée après un examen en vue d'ajouter des paramètres CVSS, des captures d'écran et d'autres informations à l'onglet Informations sur les problèmes des résultats de l'examen.
ingénierie inverse
Analyser une unité ou un système pour prendre connaissance des détails de sa conception, sa construction et son mode opératoire.
analyse du risque
Analyse des problèmes de sécurité trouvés dans une application Web.
évaluation des risques
Evaluation des avantages et conséquences d'une action ou d'un scénario.
gestion des risques
Allocation optimale des ressources en vue de parvenir à un investissement approprié des mesures défensives au sein d'une organisation.
rôle
Ensemble de droits.

S

assainir
Dans le cadre de la sécurité d'une application Web, nettoyer une entrée utilisateur de ses caractères dangereux avant de l'utiliser.
examen
Processus d'exploration et de test par AppScan d'une application et de présentation des résultats.
configuration des examens
Ensemble de paramètres AppScan définissant l'application ou le service et l'environnement de l'utilisateur ainsi que des méthodes d'examen choisies par l'utilisateur.
Scan Expert
Fonction facultative explorant le comportement de l'application et du réseau, et recommandant des modifications de configuration pour optimiser l'examen.
module d'analyse Scan Expert
Vérification unique effectuée par Scan Expert lors de son analyse.
évaluation Scan Expert
Evaluation Scan Expert de la configuration utilisateur.
modèle d'examen
Configuration d'examen pouvant être chargée pour être utilisée avec un examen.
planificateur
Serveur d'arrière-plan multitâche et multiprocesseurs conçu pour gérer la planification et le lancement de travaux, selon un calendrier simple.
audit de sécurité
Evaluation technique mesurable systématique ou manuelle d'un système ou d'une application.
risque pour la sécurité
Succès potentiel d'une menace et dommage pouvant en découler.
séquence
Liste d'adresses URL enregistrées.
session
Connexion logique ou virtuelle entre deux postes, logiciels ou unités d'un réseau permettant à ces deux éléments de communiquer et d'échanger des données. Voir aussi transaction
données d'identification de session
Chaîne de données fournie par le serveur Web et stockée dans un cookie ou une adresse URL, identifiant un utilisateur et autorisant ce dernier à exécuter diverses actions.
fixation de session
Technique d'attaque qui permet à un agresseur de fixer (définir) l'identificateur de session d'un utilisateur et d'assumer son identité en ligne.
détournement de session
Compromission d'une session utilisateur par un pirate. Le pirate peut réutiliser cette session volée pour se présenter comme l'utilisateur.
ID session
Voir identificateur de session
identificateur de session (ID session)
Compromission d'une session utilisateur par un pirate. Le pirate peut réutiliser cette session volée pour se présenter comme l'utilisateur.
jeton de session
Identificateur envoyé par le navigateur en tant que paramètre ou cookie afin d'effectuer une corrélation entre un utilisateur et sa session en cours sur l'application web. Voir aussi identificateur de session, jeton temporaire.
évaluation de la gravité
Niveau affecté par l'examen à un problème et indiquant le risque de sécurité qu'il représente.
Shell
Interface logicielle entre les utilisateurs et un système d'exploitation. Les shells font généralement partie de l'une des deux catégories suivantes : un shell de ligne de commande, qui fournit une interface de ligne de commande au système d'exploitation ; et un shell graphique, qui fournit une interface graphique.
code source
Programme informatique dans un format lisible. Le code source est converti en code binaire pouvant être utilisé par un ordinateur.
usurpation
Technique de simulation de l'adresse d'envoi d'une transmission afin d'obtenir un accès illégal à un système sécurisé.
SQL
Voir Structured Query Language.
injection SQL
Voir injection Structured Query Language.
étape
Partie d'une étape d'examen dans laquelle AppScan explore ou teste le site.
protocole apatride
Protocole ne conservant pas de relation entre des commandes. HTTP est un exemple de protocole apatride.
Structured Query Language (SQL)
Langage normalisé servant à définir et manipuler les données dans une base de données relationnelle.
injection Structured Query Language (injection SQL)
Technique d'attaque utilisée pour exploiter les sites web en altérant les instructions SQL en arrière plan via la manipulation des entrées de l'application.
syntaxe
Règles de construction d'une commande ou d'une instruction.

T

correctif de test
Correctif temporaire fourni à des clients spécifiques pour obtenir la réponse de test à un incident rapporté.
stratégie de test
Stratégie qui limite l'examen à certaines catégories et types de tests.
demande de test
Requête envoyée à l'application lors de l'étape de test de l'examen. Les demandes de test sont conçues pour révéler les vulnérabilités de sécurité.
Etape de test
Etape de l'examen pendant laquelle les objets et la logique de l'application analysée sont soumis à un barrage total des techniques d'utilisation malveillantes générales, erronées, et simulées résultant d'un inventaire complet des vulnérabilités de sécurité.
thread
Flux d'instructions informatiques contrôlant un processus. Dans certains systèmes d'exploitation, une unité d'exécution est l'unité d'opération la plus petite d'un processus. Plusieurs unités d'exécution peuvent s'exécuter simultanément et effectuer des travaux différents.
menace
Problème de sécurité ou acte malveillant, tel que le déploiement d'un virus ou la pénétration illégale dans un réseau.
classe de menaces
Groupe de problèmes de sécurité, classés par catégories WASC-TC. Pour chaque classe de menaces, il existe de nombreux tests spécifiques ; et pour chaque test, de nombreuses variantes.
transaction
Demande faite à une application et réponse (de l'application) générée par cette demande.
jeton temporaire
Jeton dont la valeur change (il s'agit généralement d'un jeton de session). L'envoi d'un jeton temporaire arrivé à expiration pouvant provoquer la déconnexion d’AppScan de l'application qu'il teste, il doit donc les maintenir à jour. Voir aussi jeton de session.

U

adresse URL
Adresse unique d'une ressource d'information qui est accessible sur un réseau tel qu'Internet. L'adresse URL inclut le nom abrégé du protocole utilisé pour accéder à la ressource d'information et l'information utilisée par le protocole pour localiser la ressource d'information.
UNIX®
Système d'exploitation hautement portable disposant de fonctions de multiprogrammation s'exécutant dans un environnement multi-utilisateurs. Le système d'exploitation UNIX a été initialement développé pour être utilisé sur des petits ordinateurs, mais a été adapté pour des grands systèmes et des micro-ordinateurs. Le système d'exploitation AIX® est une implémentation IBM du système d'exploitation UNIX.
URL
Voir adresse URL.
test défini par l'utilisateur
Test créé par un utilisateur en plus des tests créés et exécutés automatiquement.

V

validation
Processus consistant à vérifier qu'un test particulier est parvenu à atteindre son objectif ou a échoué.
vulnérabilité
Exposition de la sécurité dans un système d'exploitation, un logiciel système ou un composant de logiciel d'application.

W

application Web
Application accessible par un navigateur Web et fournissant certaines fonctions lors de l'affichage statique d'informations, par exemple en permettant à l'utilisateur d'analyser une base de données. Les composants communs d'une application Web comprennent des pages HTML, des pages JSP et des servlets.
Un navigateur Web
Programme client lançant des requêtes à un serveur Web et affichant les informations renvoyées par le serveur.
contenu Web
Fichiers et autres ressources composant un site Web. Le contenu Web peut comporter des fichiers d'images, des fichiers audio, des fichiers HTML, des fichiers JSP, des feuilles de style, des entrées de base de données ou tout autre élément pouvant être contenu dans un site Web.
sécurité Web
Théorie et pratique de la sécurité des informations par rapport au World Wide Web, au protocole HTTP et au logiciel d'application Web.
serveur Web
Programme capable de servir les demandes HTTP (Hypertext Transfer Protocol).
service Web
Application exécutant des tâches spécifiques et accessibles par le biais de protocoles ouverts tels que HTTP et SOAP.
Web Services Description Language (WSDL)
Spécification basée sur XML décrivant des services réseau comme un ensemble de points finaux opérant sur des messages contenant des informations orientées document ou orientées procédure.
boîte blanche
Examen permettant d’analyser le code source d’une application, tel que le code JavaScript dans le cas d’une analyse statique. Voir aussi "black box".
Windows NT LAN Manager (NTLM)
Protocole utilisé dans de nombreux protocoles réseau Microsoft® pour l'authentification.
langage WSDL
Voir Web Services Description Language.

X

XSS
Voir attaque par script intersite.