Sécurité applicative
DAST (Dynamic Application Security Testing)
Aussi appelé: Analyse dynamique, Tests boîte noire
Définition
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
Exemples
- Exécuter un scan automatisé OWASP ZAP contre une API en staging comme job CI.
- Effectuer un scan Burp Suite authentifié contre une SPA.
Termes liés
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
IAST (Interactive Application Security Testing)
Test de sécurité qui instrumente l'application en cours d'exécution pour observer le code en temps réel pendant qu'il est sollicité par du trafic ou des tests.
RASP (Runtime Application Self-Protection)
Défense intégrée à une application en cours d'exécution qui surveille le contexte d'exécution et bloque en temps réel les comportements malveillants comme l'injection ou la désérialisation non sûre.
Fuzz testing
Technique de test automatisé qui soumet un programme à de grandes quantités d'entrées malformées, aléatoires ou inattendues pour révéler des crashs, des corruptions mémoire et des vulnérabilités.
DevSecOps
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
OWASP Top 10
OWASP Top 10 — definition coming soon.