- Endpoint
- Eine einzelne ansprechbare Adresse einer API, z. B.
/konten/{id}, mit einer bestimmten Aufgabe.
- BOLA
- Broken Object Level Authorization: Zugriff auf fremde Datensätze, weil die API die Eigentümerschaft nicht prüft.
- BFLA
- Broken Function Level Authorization: Aufruf von Funktionen, die der eigenen Rolle nicht zustehen.
- Pentest
- Penetrationstest: ein kontrollierter Angriff, um echte, ausnutzbare Schwachstellen zu finden, bevor es andere tun.
- False Positive
- Ein gemeldeter „Fund", der in Wirklichkeit keiner ist. Zu viele davon ertränken echte Risiken im Rauschen.
- CVSS
- Common Vulnerability Scoring System: ein standardisierter Wert für den Schweregrad einer Schwachstelle.
- Shadow API
- Eine produktive, aber nirgends dokumentierte API, ein klassisches Einfallstor, weil sie niemand prüft.
- SARIF
- Ein offenes Austauschformat für Analyse-Ergebnisse, damit Befunde werkzeugübergreifend nutzbar sind.