Lexique des
Outils spécialisés de sécurité des applications Web
Des outils spécialisés de sécurité des applications Web existent pour découvrir les vulnérabilités et les erreurs de configuration, les trier, les atténuer temporairement et gérer l'ensemble du processus de test et de correction. Il existe de nombreuses classes d'outils de sécurité Web qui couvrent différents domaines du cycle de vie des applications et différents types de tests de sécurité. Connaître l'utilisation prévue et les limites de chaque classe d'outils est crucial pour créer une chaîne d'outils qui fonctionne le mieux pour votre environnement spécifique.
DAST
Tests dynamiques de sécurité des applications (DAST)
L'objectif des tests dynamiques de sécurité des applications est de rechercher et de répertorier les vulnérabilités de sécurité et les erreurs de configuration. Notez que le terme DAST peut s'appliquer à la fois à la méthodologie de test de sécurité et aux outils qui utilisent cette approche.
SAST
Test de sécurité des applications statiques (SAST)
Le terme test de sécurité d'application statique (SAST) s'applique aux tests de sécurité effectués sur du code statique, et non sur une application en cours d'exécution. Notez que le terme SAST peut faire référence à la fois à la méthodologie de test de sécurité et aux outils qui utilisent cette approche.
IAST
Tests interactifs de sécurité des applications (IAST)
Le terme test interactif de sécurité des applications (IAST) s'applique aux tests de sécurité où l'outil de test interagit avec une application en cours d'exécution et l'observe de l'intérieur en temps réel. Notez que le terme IAST peut faire référence à la fois à la méthodologie de test de sécurité et aux outils qui utilisent cette approche.
SCA
Analyse de la composition logicielle (SCA)
Le terme analyse de la composition logicielle (SCA) s'applique à une méthodologie de test de sécurité logicielle ainsi qu'aux outils logiciels qui utilisent cette méthodologie. SCA diffère des autres méthodologies de test de sécurité des applications telles que DAST , SAST et IAST en ce sens qu'elle ne fonctionne pas en trouvant les vulnérabilités de sécurité réelles mais en découvrant et en identifiant précisément les composants logiciels connus pour présenter de telles vulnérabilités.
WAF
Pare-feu applicatif Web (WAF)
Le terme pare-feu d'application Web (WAF) s'applique aux solutions de sécurité qui nettoient les requêtes et les réponses Web. Les WAF fonctionnent comme un proxy inverse vers le serveur Web et tentent de détecter les tentatives d'attaque en surveillant toutes les requêtes envoyées au serveur (et éventuellement en vérifiant également les réponses du serveur).
WAD
Découverte d'actifs Web
Le terme découverte d'actifs Web s'applique à un mécanisme associé aux tests de sécurité des applications Web. Cette fonction est souvent disponible sous forme de module dans d'autres outils de cybersécurité et est rarement disponible en tant qu'outil autonome. Notez que la découverte d'actifs Web est un concept relativement nouveau et que le terme lui-même n'est pas formellement défini.
VM
Gestion des vulnérabilités
Le terme de gestion des vulnérabilités s'applique à un processus de sécurité informatique permettant de traiter une vulnérabilité de cybersécurité depuis sa découverte (manuelle ou automatique) jusqu'à sa résolution. Ce processus peut inclure une évaluation et une hiérarchisation des vulnérabilités, une atténuation temporaire à l'aide d'un pare-feu ou d'un WAF , la création de tickets ou de problèmes dans les systèmes de gestion, la validation manuelle, un nouveau test une fois les efforts de correction terminés, etc.
VA
Évaluation de la vulnérabilité
Le terme évaluation de vulnérabilité s'applique à toutes les activités d'analyse de vulnérabilité qui aboutissent à évaluer l'impact et l'importance d'une vulnérabilité de sécurité dans un système informatique. Sur la base de l'évaluation de la vulnérabilité, les entreprises peuvent prioriser l'atténuation et la correction. L'évaluation des vulnérabilités fait partie intégrante de la gestion des vulnérabilités et est effectuée soit automatiquement par un logiciel d'analyse des vulnérabilités, soit manuellement lors des tests d'intrusion.