***API Security** : Ensemble des pratiques visant à protéger les API contre les abus, accès non autorisés ou injections malveillantes. Par exemple, vérifier les tokens JWT ou limiter le rate limit.
***Authentication (Authentification)** : Processus permettant de vérifier l’identité d’un utilisateur ou d’un système avant de lui accorder l’accès.
***Authorization (Autorisation)** : Détermination des droits et privilèges d’un utilisateur après authentification.
### **B**
***Brute Force** : Attaque consistant à tester toutes les combinaisons possibles pour deviner un mot de passe ou une clé. Exemple : attaque de mot de passe via Node.js ou Python avec rockyou.txt.
***Bug** : Défaut dans le code qui peut provoquer un comportement inattendu ou vulnérable.
### **C**
***CORS (Cross-Origin Resource Sharing)** : Politique de sécurité des navigateurs permettant de contrôler quelles origines peuvent accéder aux ressources d’un serveur. Une mauvaise configuration peut permettre des requêtes non autorisées.
***CSRF (Cross-Site Request Forgery)** : Attaque qui force un utilisateur authentifié à exécuter une action non désirée sur une application web.
### **D**
***Data Exposure** : Fuite de données sensibles (mots de passe, tokens, informations personnelles) due à un stockage ou une transmission non sécurisée.
***Deserialization Attack** : Exploitation de données sérialisées mal contrôlées pour exécuter du code arbitraire ou modifier des objets côté serveur.
### **I**
***Input Validation (Validation des entrées)** : Vérification systématique des données fournies par un utilisateur ou un client avant traitement. Permet de prévenir les injections SQL, XSS, SSRF…
***Injection** : Exploit consistant à insérer des commandes ou du code malveillant dans une requête ou un script (SQL, NoSQL, LDAP, Command Injection).
### **L**
***Logging (Journalisation)** : Enregistrement des événements applicatifs ou systèmes pour la détection des anomalies et l’analyse des incidents.
***Least Privilege (Principe du moindre privilège)** : Attribution aux utilisateurs ou services uniquement des droits nécessaires à leur fonctionnement.
### **O**
***OWASP** : Organisation mondiale dédiée à la sécurité des applications web, créatrice des Top 10 des vulnérabilités web et de nombreux guides et outils.
***Open Redirect** : Vulnérabilité permettant à un attaquant de rediriger un utilisateur vers un site externe malveillant via une URL contrôlée par l’application.
### **R**
***RCE (Remote Code Execution)** : Exécution de code arbitraire sur un serveur distant via une vulnérabilité. Exemple : exploitation d’une faille de désérialisation en Python ou Node.js.
***Rate Limiting** : Limitation du nombre de requêtes qu’un utilisateur ou client peut effectuer sur une période donnée pour prévenir les abus et les attaques par force brute.
### **S**
***SSRF (Server-Side Request Forgery)** : Vulnérabilité permettant de forcer le serveur à envoyer des requêtes vers des destinations internes ou externes inattendues.
***SQL Injection** : Exploitation d’une entrée non filtrée pour injecter du code SQL malveillant dans une requête.
***Security Misconfiguration** : Paramétrage incorrect d’un serveur, framework ou API pouvant exposer l’application à des attaques.
### **T**
***Token** : Jeton utilisé pour identifier un utilisateur ou un processus et assurer l’authenticité des requêtes. Exemple : JWT, OAuth2 Access Token.
***Transport Layer Security (TLS)** : Protocole assurant la confidentialité et l’intégrité des données échangées entre client et serveur.
### **V**
***Vulnerability (Vulnérabilité)** : Faiblesse dans un système pouvant être exploitée pour compromettre la sécurité.
***VAPT (Vulnerability Assessment / Penetration Testing)** : Ensemble de méthodes permettant d’identifier et tester les vulnérabilités d’une application.
