Una vulnerabilidad es una debilidad de una aplicación, la cual, puede ser una falla de diseño, un error de desarrollo o una mala configuración en el despliegue que puede provocar o ayudar a provocar un daño a los interesados de la misma. Los interesados incluyen al propietario de la aplicación, usuarios de la aplicación y a otras entidades que confían en la aplicación.
Técnica de ataque
Es una abstracción que abarca uno o más pasos para encontrar o explotar una vulnerabilidad en una aplicación.
Vector de ataque
Es la implementación de una técnica de ataque teniendo en cuenta el contexto de la aplicación objetivo.
Pentesting
Son ataques simulados a una aplicación lo que permite evaluar la seguridad de la misma. Debe haber un acuerdo entre ambas partes (pentester y cliente) y se debe definir los lineamientos del pentesting.
Metodología
Es un conjunto de procedimientos ordenados que permiten ejecutar un pentesting.
Herramienta de ataque
Permite automatizar parcial o totalmente la ejecución de una o más técnicas de ataque.
Herramienta de defensa
Permite defender una aplicación contra técnicas de ataque ya sea detectando, disminuyendo o evitando el impacto de la misma.
Riesgo
El riesgo es el producto del impacto y de la probabilidad para una determinada vulnerabilidad. El impacto puede ser diferente desde el punto de vista técnico como al negocio, por eso, puede ser necesario diferenciar el impacto técnico del impacto al negocio.
Score de vulnerabilidad
Cada vulnerabilidad debe ser puntuada, de esa manera se puede establecer una lista de prioridades. Por ejemplo, un sistema de puntuación es el CVSS (Common Vulnerability Scoring System).
Amenaza
Es una posible interacción entre el software y uno o más actores donde los resultados de la ejecución es dañina para el sistema, para uno o varios de los actores o para los stakeholders pero sin saber exactamente cómo podría suceder dicha interacción.
Agentes de amenaza
Es el interesado en atacar a la aplicación. La detección de este rol es crucial para determinar el nivel de defensa necesario.
Caso de abuso
Es una especificación de la interacción entre el sistema y uno o más actores donde los resultados de la ejecución es dañina para el sistema, para uno o varios de los actores o para los stakeholders.