● 81 entries

Sécurité applicative

ASLRLa randomisation de l'espace d'adressage place aleatoirement le code, les piles, les tas et les bibliotheques en memoire afin qu'un attaquant ne puisse pas predire les adresses cibles.
Attaque par confusion de dépendancesAttaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.
Attestation de provenanceDéclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.
Attribut sandbox d'iframeAttribut HTML qui applique des restrictions supplementaires au contenu d'un iframe, bloquant scripts, formulaires, navigation et acces same-origin sauf reactivation explicite.
Builds reproductiblesPratiques de build garantissant que compiler le même code source avec les mêmes instructions produit un artefact identique bit à bit, peu importe le moment et l'endroit.
Canal Auxiliaire d'Exécution SpéculativeClasse de vulnérabilités microarchitecturales où les CPU fuient des données via caches et prédicteurs après avoir exécuté spéculativement des instructions qui n'auraient pas dû s'exécuter.
Canari de pileUn canari de pile est une valeur secrete placee entre les tampons locaux d'une fonction et son adresse de retour sauvegardee pour detecter les depassements avant qu'ils ne detournent le flot de controle.
CAPTCHATest de défi-réponse conçu pour distinguer les humains des bots automatisés, généralement déployé sur les pages d'inscription, de connexion et de soumission de formulaire.
Capture the Flag (CTF)Compétition de cybersécurité où des équipes résolvent des défis pour récupérer des jetons cachés, utilisée pour la formation, le recrutement et la communauté.
Cas d'abusArtefact d'expression de besoins décrivant comment un acteur malveillant chercherait délibérément à détourner un système pour nuire aux utilisateurs, aux données ou au métier.
Cas de mésusageCas d'utilisation négatif décrivant des interactions que le système doit empêcher, modélisé aux côtés des cas d'usage légitimes pour les analyser ensemble.
Codage sécuriséPratique consistant à écrire du code minimisant les défauts de sécurité, en suivant des modèles défensifs, des règles propres au langage et des guides reconnus.
Contenu mixteSituation ou une page HTTPS charge des sous-ressources (scripts, styles, images, XHR) en HTTP simple, affaiblissant les garanties globales de securite.
Cookie SameSiteAttribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
CORS (Partage de ressources entre origines)Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.
CosignCLI open source du projet Sigstore pour signer, vérifier et attester des artefacts OCI et d'autres logiciels, en mode clé ou sans clé.
Cryptographic Bill of Materials (CBOM)Inventaire de tous les actifs cryptographiques utilisés par un logiciel ou un système - algorithmes, tailles de clé, certificats, bibliothèques, protocoles - au service de l'agilité cryptographique et de la préparation post-quantique.
Cycle de développement logiciel sécurisé (SSDLC)Cycle de développement où les activités de sécurité sont intégrées à chaque phase, des exigences à la conception, au code, aux tests, à la livraison et à l'exploitation.
DAST (Dynamic Application Security Testing)Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
DEPLa prevention d'execution des donnees (DEP / NX / W^X) marque les pages memoire comme non executables pour empecher un attaquant d'executer du shellcode injecte dans la pile ou le tas.
DevSecOpsCulture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Drapeau de cookie HttpOnlyAttribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.
Drapeau de cookie SecureAttribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
En-têtes de sécurité HTTPEn-têtes de réponse demandant au navigateur d'appliquer des comportements défensifs : HTTPS strict, restriction de framing, politiques de contenu, contrôle du referer.
Encodage de sortieTransformation des données non fiables dans une forme sûre pour un contexte précis (HTML, JavaScript, URL, SQL, shell) afin qu'elles ne s'évadent pas pour être exécutées comme du code.
Exécution symboliqueTechnique d'analyse de programme qui exécute le code avec des entrées symboliques au lieu de valeurs concrètes, construisant des contraintes de chemin résolues par un solveur SMT.
Exigences de sécuritéÉnoncés explicites et testables de ce qu'un système doit et ne doit pas faire pour protéger confidentialité, intégrité, disponibilité et vie privée.
Exploit PDFDocument PDF malveillant qui abuse de bugs du parser, du JavaScript embarqué, des fontes ou des actions externes d'un lecteur PDF pour exécuter du code ou exfiltrer des données.
Extension de Navigateur MalveillanteModule complémentaire qui abuse de ses permissions pour voler des identifiants, détourner des sessions, injecter des publicités ou exfiltrer des données, souvent via la mise à jour compromise d'une extension légitime.
Fixation de sessionAttaque où l'adversaire plante un identifiant de session connu dans le navigateur de la victime avant la connexion, identifiant qui reste valable pour lui après l'authentification.
Format binaire ELFExecutable and Linkable Format, le conteneur binaire standard pour les executables, fichiers objets et bibliotheques partagees sur Linux, BSD et la plupart des derives de System V Unix.
Format executable PEPortable Executable, le format binaire Windows utilise pour les fichiers .exe, .dll, .sys et .ocx, derive de l'ancien format objet COFF.
Fuzz testingTechnique de test automatisé qui soumet un programme à de grandes quantités d'entrées malformées, aléatoires ou inattendues pour révéler des crashs, des corruptions mémoire et des vulnérabilités.
Fuzzing guidé par couvertureTechnique de fuzzing qui instrumente la cible pour mesurer la couverture de code et fait évoluer les entrées explorant de nouveaux chemins, augmentant drastiquement l'efficacité.
Fuzzing par mutationStratégie de fuzzing qui produit de nouvelles entrées de test en mutant aléatoirement des échantillons valides existants : flip de bits, insertion d'octets, splice de fichiers.
IAST (Interactive Application Security Testing)Test de sécurité qui instrumente l'application en cours d'exécution pour observer le code en temps réel pendant qu'il est sollicité par du trafic ou des tests.
in-totoCadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu.
Intégrité des sous-ressources (SRI)Mécanisme du navigateur qui vérifie un hash cryptographique d'un script ou d'une feuille de styles tiers avant son exécution, empêchant tout fichier altéré de s'exécuter.
Integrite du flot de controleL'integrite du flot de controle (CFI) restreint les appels indirects et les retours du programme a un ensemble precalcule de cibles legitimes, bloquant ROP et JOP.
Intel CETIntel CET (Control-flow Enforcement Technology) est une fonctionnalite du processeur qui combine une shadow stack materielle et l'Indirect Branch Tracking (IBT) pour bloquer ROP, JOP et COP.
Isolation des SitesArchitecture de sécurité de Chromium qui place les documents de sites distincts dans des processus système séparés afin qu'un renderer compromis ne puisse pas lire les données d'autres sites.
JIT SprayTechnique d'exploitation qui abuse des compilateurs JIT pour placer des octets exécutables choisis par l'attaquant dans des pages mémoire générées légitimement comme exécutables.
KASLRLe KASLR randomise la base du noyau et l'adresse de chargement des modules a chaque demarrage afin d'empecher un attaquant d'utiliser des symboles fixes pour une elevation de privileges.
Langages memory safeLes langages memory safe comme Rust, Go, Swift, Java et C# empechent les erreurs memoire spatiales et temporelles qui causent la majorite des vulnerabilites exploitables en C et C++.
Mach-OMach-O est le format natif d'executables, d'objets et de bibliotheques partagees utilise par macOS, iOS, watchOS et tvOS pour les binaires produits par la chaine d'outils Apple.
MIME SniffingComportement du navigateur consistant a deviner le type de contenu d'une reponse a partir de ses octets, exploitable pour executer des fichiers televerses comme scripts.
Modélisation des menacesAnalyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
Navigateur sans teteNavigateur web qui s'execute sans interface graphique et est pilote par programmation, utilise pour les tests, le scraping et l'automatisation de securite.
Politique de même origine (SOP)Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.
Politique de referent (Referrer Policy)En-tete HTTP (ou balise meta) qui controle la quantite d'information d'URL d'origine envoyee par le navigateur dans l'en-tete Referer.
Politique de sécurité du contenu (CSP)En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.
Proprietes de securite de RustRust applique la securite memoire et de threads a la compilation via ownership, borrowing et lifetimes, eliminant use-after-free et data races sans ramasse-miettes.
RASP (Runtime Application Self-Protection)Défense intégrée à une application en cours d'exécution qui surveille le contexte d'exécution et bloque en temps réel les comportements malveillants comme l'injection ou la désérialisation non sûre.
Requête paramétréeRequête de base de données dont les valeurs sont transmises séparément du texte SQL via des espaces réservés, de sorte que l'entrée utilisateur ne peut pas modifier sa structure.
Return-Oriented ProgrammingLe ROP est une technique d'exploitation par reutilisation de code qui enchaine de courtes sequences terminees par RET pour executer un calcul arbitraire sans injecter de code.
robots.txtFichier texte place a la racine du site qui indique aux robots respectueux les chemins qu'ils peuvent ou non recuperer, formalise par le RFC 9309 de l'IETF.
Sandbox de NavigateurCouche d'isolation au niveau OS qui confine les processus renderer et auxiliaires du navigateur afin qu'un code web compromis ne puisse pas lire le système de fichiers ni d'autres applications.
SAST (Static Application Security Testing)Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
SCA (Software Composition Analysis)Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
Secrets codés en dur dans le codeInsertion d'identifiants, clés API, jetons ou matériel cryptographique directement dans le code source, des fichiers de configuration ou des images conteneurs, où ils sont aisément découverts et abusés.
Sécurité applicative (AppSec)Discipline consistant à concevoir, développer, tester et exploiter les logiciels afin qu'ils résistent aux abus, à la falsification et aux accès non autorisés sur tout leur cycle de vie.
Sécurité CI/CDEnsemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés.
Sécurité de la chaîne d'approvisionnement logicielleDiscipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
Securite de PlaywrightConsiderations de securite pour Playwright, le framework d'automatisation multi-navigateur de Microsoft qui pilote Chromium, Firefox et WebKit avec des contextes isoles.
Securite de PuppeteerConsiderations de securite pour Puppeteer, la bibliotheque Node.js de Google qui pilote Chrome et Chromium via le DevTools Protocol pour l'automatisation et les tests.
Sécurité des APIDiscipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
Sécurité GitOpsPratiques de sécurité pour les flux GitOps où l'état désiré déclaratif de l'infrastructure et des applications est stocké dans Git et réconcilié en production par un contrôleur automatisé.
Securite memoireLa securite memoire est la propriete qu'un programme ne lise, n'ecrive ni n'execute jamais une memoire qu'il n'a pas legitimement allouee, ce qui supprime des classes entieres de vulnerabilites.
Sécurité shift-leftPratique consistant à déplacer les activités de sécurité au plus tôt dans le cycle de vie logiciel afin de détecter et corriger les vulnérabilités avant la production.
Shadow stackUne shadow stack est une pile separee et protegee qui conserve des copies des adresses de retour afin que le processeur detecte une alteration de la pile normale et bloque les attaques ROP.
Signature de paquetsApplication d'une signature cryptographique à un paquet logiciel pour que les consommateurs vérifient l'identité de l'éditeur et que l'artefact n'a pas été altéré après publication.
SigstoreProjet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
SLSA FrameworkSupply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
SMEP / SMAPSMEP et SMAP sont des fonctions du processeur qui empechent le noyau d'executer ou d'acceder aux pages utilisateur, bloquant les techniques courantes d'elevation de privileges locale.
Software Bill of Materials (SBOM)Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
Trusted TypesAPI navigateur et directive CSP qui previent le XSS DOM en exigeant que les sinks dangereux recoivent des valeurs typees validees par une politique, et non des chaines brutes.
Usurpation d'User-AgentFalsification de l'en-tete User-Agent ou des Client Hints associes pour qu'une requete semble provenir d'un autre navigateur, appareil ou systeme d'exploitation qu'en realite.
Validation des entréesContrôle côté serveur vérifiant que chaque entrée non fiable correspond au type, à la longueur, à la plage, au format et à l'ensemble de valeurs attendus avant tout traitement.
Verrouillage de dépendances (pinning)Pratique consistant à déclarer les dépendances logicielles à des versions exactes, souvent associées à des empreintes cryptographiques, afin que les builds consomment toujours les mêmes artefacts et résistent aux manipulations de la chaîne d'approvisionnement.
Vulnérabilité de Confusion de TypeBug de sûreté mémoire où le code accède à un objet via un type incompatible avec son allocation réelle, permettant souvent lecture, écriture ou exécution arbitraires.
Vulnerabilites JWTClasses de defauts d'implementation dans la validation des JSON Web Tokens permettant a un attaquant de forger des tokens, escalader des privileges ou contourner l'authentification.