OWASP signifie fondamentalement le projet Open Web Application Security, c’est une communauté en ligne mondiale à but non lucratif composée de dizaines de milliers de membres et de centaines de chapitres qui produit des articles, de la documentation, des outils et des technologies dans le domaine de la sécurité des applications Web.

Tous les trois à quatre ans, OWASP révise et publie sa liste des top 10 des vulnérabilités des applications web., Cette liste contient non seulement les 10 principales vulnérabilités les plus courantes, mais contient également l’impact potentiel de chaque vulnérabilité et comment les éviter. Le Top 10 des risques de sécurité des applications Web d’OWASP a été récemment mis à jour en 2017 et fournit essentiellement des conseils aux développeurs et aux professionnels de la sécurité sur les vulnérabilités les plus critiques que l’on trouve le plus souvent dans les applications Web et qui sont également faciles à exploiter. Le top 10 d’OWASP est considéré comme un guide essentiel des meilleures pratiques de sécurité des applications Web.,

Les 10 principales vulnérabilités OWASP en 2020 sont:

  1. Injection
  2. Authentification brisée
  3. Exposition aux données sensibles
  4. Entités externes XML (XXE)
  5. Contrôle d’accès cassé
  6. Erreurs de configuration de sécurité
  7. Cross-Site Scripting (XSS)
  8. Désérialisation non sécurisée
  9. Utilisation de composants avec vulnérabilités connues
  10. Journalisation et surveillance insuffisantes.,

Injection

Les vulnérabilités d’injection se produisent lorsqu’un attaquant utilise une requête ou une commande pour insérer des données non fiables dans l’interpréteur via SQL, OS, NoSQL ou LDAP injection. Les données injectées via ce vecteur d’attaque font que l’application fait quelque chose pour lequel elle n’est pas conçue. Toutes les applications ne sont pas vulnérables à cette attaque, seules les applications qui acceptent les paramètres en entrée sont vulnérables aux attaques par injection.,

Les attaques par injection peuvent être évitées par

  • En utilisant une API plus sûre qui évite l’utilisation de l’interpréteur
  • En utilisant des requêtes paramétrées lors du codage
  • Séparer les commandes des données pour éviter l’exposition aux attaques

Authentification brisée

L’authentification brisée est une vulnérabilité qui permet à un attaquant d’utiliser des méthodes manuelles ou automatiques pour essayer de prendre le contrôle du compte qu’il souhaite dans un système. Dans des conditions pires, ils pourraient également obtenir un contrôle complet sur le système., Cette vulnérabilité est également plus dangereuse car les sites Web avec des vulnérabilités d’authentification brisées sont très courants sur le Web. L’authentification interrompue se produit normalement lorsque les applications exécutent de manière incorrecte des fonctions liées à la gestion de session permettant aux intrus de compromettre les mots de passe, les clés de sécurité ou les jetons de session.,Les attaques par authentification interrompue peuvent être évitées en

  • Mise en œuvre de l’authentification multifacteur
  • Protection des informations d’identification des utilisateurs
  • Envoi de mots de passe via des connexions cryptées

Exposition aux données sensibles

Cette vulnérabilité est l’une des vulnérabilités les plus répandues sur la liste OWASP et elle se produit lorsque fraude ou vol d’identités.,

Les attaques d’exposition de données sensibles peuvent être évitées en

  • Utilisant les URL sécurisées
  • Utilisant des mots de passe forts et uniques
  • Chiffrant toutes les informations sensibles qui doivent être stockées

XML External Entities (XXE)

Cette vulnérabilité se produit pour les applications Web qui analysent Cela se produit lorsque des processeurs XML mal configurés évaluent les références d’entités externes dans les documents XML et envoient des données sensibles à une entité externe non autorisée, c’est-à-dire une unité de stockage telle qu’un disque dur., Par défaut, la plupart des analyseurs XML sont vulnérables aux attaques XXE.

Les attaques XXE peuvent être évitées en

  • En utilisant des formats de données moins complexes tels que JSON
  • En maintenant les processeurs et les bibliothèques XML mis à niveau
  • En utilisant les outils SAST

Contrôles d’accès rompus

Cette vulnérabilité se produit lorsqu’il y a un accès brisé aux ressources, cela signifie qu’il y a des restrictions manquantes mal configurées sur les utilisateurs authentifiés qui leur permettent d’accéder à des fonctionnalités non autorisées ou à des données comme l’accès à d’autres comptes, documents confidentiels, etc., Pour cette attaque, les attaquants utilisent la gestion de session et tentent d’accéder aux données des jetons de session non expirés, ce qui leur donne accès à de nombreux identifiants et mots de passe valides.,

Les attaques de contrôle d’accès brisées peuvent être évitées par

  • Suppression de comptes qui ne sont plus nécessaires ou qui ne sont pas actifs
  • Arrêt de services inutiles pour réduire la charge sur les serveurs
  • Utilisation de tests d’intrusion

Mauvaise configuration de la sécurité

On estime que nous passons à la prochaine vulnérabilité appelée erreur de configuration de sécurité. Cette vulnérabilité fait référence à la mauvaise mise en œuvre de la sécurité destinée à protéger les données de l’application., Comme nous le savons, le travail du développeur consiste essentiellement à travailler sur la fonctionnalité des sites Web et non sur la sécurité et cette faille permet aux pirates de suivre la configuration de la sécurité et de trouver de nouveaux moyens possibles d’accéder à des sites Web. La raison la plus courante de cette vulnérabilité est de ne pas corriger ou mettre à niveau les systèmes, les frameworks et les composants.,

Les attaques de mauvaise configuration de sécurité peuvent être évitées en

  • En utilisant Dynamic application security testing (DAST)
  • En désactivant l’utilisation des mots de passe par défaut
  • En gardant un œil sur les ressources, les applications et les serveurs du cloud

Cross-Site Scripting (XSS)

Il s’agit également La vulnérabilité XSS permet à un pirate d’injecter des scripts malveillants côté client dans un site Web, puis d’utiliser l’application Web comme vecteur d’attaque pour détourner des sessions utilisateur ou rediriger la victime vers des sites Web malveillants.,

Les attaques par script intersite peuvent être évitées en

  • En utilisant des en-têtes de réponse appropriés
  • En filtrant l’entrée et en encodant la sortie
  • En utilisant la stratégie de sécurité du contenu
  • En appliquant une approche de confiance zéro à l’entrée utilisateur

Désérialisation non sécurisée

La vulnérabilité de désérialisation non sécurisée permet à un attaquant d’exécuter à distance du code dans l’application, de falsifier ou de supprimer le code sérialisé (écrit sur disque) objets, effectuer des attaques par injection, rejouer les attaques et élever les privilèges. Cette attaque est également connue sous le nom de désérialisation non fiable., C’est un grave problème de sécurité des applications qui affecte la plupart des systèmes modernes.,les attaques d’alization peuvent être évitées en

  • En implémentant des signatures numériques
  • En utilisant des tests d’intrusion
  • En isolant le code qui désérialise et en l’exécutant dans des environnements à faible privilège pour empêcher les actions non autorisées

En utilisant des composants avec des vulnérabilités connues

De nos jours, il existe de nombreux composants logiciels open-source et librement disponibles (bibliothèques, frameworks) la sécurité de l’ensemble de l’application., Cela se produit également parce que les développeurs ne savent souvent pas quels composants open source et tiers sont présents dans leurs applications, ce qui rend difficile pour les développeurs de mettre à jour les composants lorsque de nouvelles vulnérabilités sont découvertes dans leurs versions actuelles.,

Cette attaque peut être évitée en

  • Supprimant toutes les dépendances inutiles
  • En utilisant des correctifs virtuels
  • En utilisant uniquement des composants provenant de sources officielles et vérifiées

Journalisation et surveillance insuffisantes

On estime que le temps entre l’attaque et la détection peut prendre jusqu’à En attendant, les attaquants peuvent falsifier des serveurs, corrompre des bases de données et voler des informations confidentielles. Une journalisation insuffisante et une intégration inefficace des systèmes de sécurité permettent aux attaquants de pivoter vers d’autres systèmes et de maintenir des menaces persistantes.,

Des attaques de journalisation et de surveillance insuffisantes peuvent être évitées en

  • Implémentant un logiciel de journalisation et d’audit
  • Établissant un système de surveillance efficace
  • Pensant comme un attaquant et utilisant une approche de test de stylo
Tags de l’article: