Journalisation et surveillance insuffisantes.
- Injection.
- Authentification brisée.
- Exposition de données sensibles.
- Entités externes XML (XXE)
- Contrôles d’accès brisés.
- Mauvaise configuration de la sécurité
- Script inter-sites (XSS)
- Désérialisation non sécurisée.
OWASP, ou Open Web Application Security Project, est une organisation à but non lucratif qui vise à améliorer la sécurité des logiciels. L’un de ses projets phares est l’OWASP Top 10, une liste des dix risques les plus critiques pour la sécurité des applications web. Cette liste a été mise à jour plusieurs fois au fil des ans, la dernière version étant l’OWASP Top 10 2017.
La liste OWASP Top 10 désigne la classification des vulnérabilités des applications web en fonction de leur impact et de leur prévalence. Les vulnérabilités sont classées en fonction de leur niveau de risque, les plus critiques étant listées en premier. Cette liste a pour but d’aider les développeurs et les professionnels de la sécurité à comprendre les types de vulnérabilités les plus courants et à prendre les mesures appropriées pour y remédier.
La liste des 10 meilleures vulnérabilités de l’OWASP est basée sur quatre critères évalués par l’OWASP pour classer ses 10 meilleures vulnérabilités. Il s’agit de la prévalence, de la détectabilité, de l’exploitabilité et de l’impact. La prévalence fait référence à la fréquence à laquelle une vulnérabilité se produit dans les applications du monde réel. La détectabilité est la facilité avec laquelle une vulnérabilité peut être trouvée lors d’un test. L’exploitabilité est la facilité avec laquelle un attaquant peut exploiter la vulnérabilité. L’impact est le dommage potentiel qui peut être causé si la vulnérabilité est exploitée.
La liste Top 10 de l’OWASP est largement reconnue et utilisée par des organisations du monde entier. Elle est approuvée par de nombreux organismes de sécurité, dont le National Institute of Standards and Technology (NIST) et le Payment Card Industry Security Standards Council (PCI SSC). Le Top 10 de l’OWASP est également référencé dans de nombreuses normes et réglementations de sécurité, y compris le Règlement général sur la protection des données (RGPD) et la Loi sur le partage d’informations en matière de cybersécurité (CISA).
L’OWASP n’est pas la seule organisation à dresser la liste des dix vulnérabilités les plus courantes sur le web. D’autres organisations, telles que le SANS Institute et le projet Common Vulnerabilities and Exposures (CVE), tiennent également à jour des listes de vulnérabilités courantes. Cependant, le Top 10 de l’OWASP est peut-être la plus reconnue et la plus respectée de ces listes.
L’OWASP est une source d’information importante pour les professionnels de la sécurité et les développeurs. L’organisation fournit une multitude de ressources et d’outils pour aider les organisations à améliorer la sécurité de leurs logiciels. L’OWASP tient également à jour une base de données des failles de sécurité connues et fournit des informations sur les nouvelles failles au fur et à mesure de leur découverte.
Le premier risque de sécurité dans le classement de l’OWASP est la vulnérabilité par injection, qui se produit lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les failles d’injection peuvent être utilisées pour exécuter un code arbitraire ou accéder à des informations sensibles. Parmi les autres vulnérabilités figurant dans la liste Top 10 de l’OWASP, citons l’authentification et la gestion de session défaillantes, les scripts intersites (XSS) et les références directes d’objets non sécurisées.
La technique la plus efficace pour découvrir les vulnérabilités consiste à combiner des outils automatisés et des tests manuels. Les outils automatisés permettent d’identifier rapidement les vulnérabilités courantes, tandis que les tests manuels permettent de découvrir des problèmes plus complexes. Un programme complet de tests de sécurité devrait comprendre à la fois des outils automatisés et des tests manuels effectués par des professionnels de la sécurité expérimentés. En outre, les organisations devraient procéder à des évaluations régulières de la sécurité pour s’assurer que leurs logiciels restent sûrs au fil du temps.
Le Top 10 de l’OWASP est une liste des vulnérabilités de sécurité des applications web les plus courantes, établie par l’Open Web Application Security Project (OWASP). La version actuelle (2017) comprend les vulnérabilités suivantes :
1. Injection
2. Authentification et gestion des sessions défaillantes
3. Scripts intersites (XSS)
4. Contrôle d’accès défaillant
5. Mauvaise configuration de la sécurité
6. Stockage cryptographique non sécurisé
7. Protection de la couche transport insuffisante
8. Entrées non validées et non nettoyées
9. Journalisation et surveillance insuffisantes
10. Utilisation de composants présentant des vulnérabilités connues.
Ces vulnérabilités peuvent être exploitées par des attaquants pour obtenir un accès non autorisé, voler des données sensibles ou effectuer d’autres actions malveillantes. Il est important que les développeurs d’applications web et les professionnels de la sécurité soient conscients de ces vulnérabilités et prennent des mesures pour les éviter.