Endpoint
Eine einzelne ansprechbare Adresse einer API, z. B. /konten/{id}, mit einer bestimmten Aufgabe.
BOLA
Broken Object Level Authorization: Zugriff auf fremde Datensätze, weil die API die Eigentümerschaft nicht prüft.
BFLA
Broken Function Level Authorization: Aufruf von Funktionen, die der eigenen Rolle nicht zustehen.
Pentest
Penetrationstest: ein kontrollierter Angriff, um echte, ausnutzbare Schwachstellen zu finden, bevor es andere tun.
False Positive
Ein gemeldeter „Fund", der in Wirklichkeit keiner ist. Zu viele davon ertränken echte Risiken im Rauschen.
CVSS
Common Vulnerability Scoring System: ein standardisierter Wert für den Schweregrad einer Schwachstelle.
Shadow API
Eine produktive, aber nirgends dokumentierte API, ein klassisches Einfallstor, weil sie niemand prüft.
SARIF
Ein offenes Austauschformat für Analyse-Ergebnisse, damit Befunde werkzeugübergreifend nutzbar sind.
Weiterlesen