Sécurité applicative
IAST (Interactive Application Security Testing)
Aussi appelé: Analyse interactive, Analyse de code à l'exécution
Définition
Test de sécurité qui instrumente l'application en cours d'exécution pour observer le code en temps réel pendant qu'il est sollicité par du trafic ou des tests.
Exemples
- Attacher un agent Contrast Security à un service Java en QA pour détecter du XSS pendant des tests E2E.
- Utiliser Seeker pour confirmer une injection SQL dans une API Node.js pendant des flows Cypress.
Termes liés
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
RASP (Runtime Application Self-Protection)
Défense intégrée à une application en cours d'exécution qui surveille le contexte d'exécution et bloque en temps réel les comportements malveillants comme l'injection ou la désérialisation non sûre.
Fuzz testing
Technique de test automatisé qui soumet un programme à de grandes quantités d'entrées malformées, aléatoires ou inattendues pour révéler des crashs, des corruptions mémoire et des vulnérabilités.
Secure Coding
Secure Coding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.