Le projet Open Web Application Security Project, aussi appelé OWASP, est un organisme sans but lucratif dédié à la sécurité des applications Web. Chaque année, ils publient ce qu’on appelle la « liste des 10 meilleurs » qui répertorie les risques les plus élevés actuels pour les applications Web.
Veuillez noter qu’il s’agit d’un document technique destiné aux développeurs d’applications. Si vous avez des ingénieurs à l’interne, assurez-vous qu’ils connaissent les Top-10OWASP! Les Top-10 OWASP les plus récents peuvent être téléchargés ici et nous en discuterons brièvement ci-dessous.
-
Injection . Les défauts d’injection se produisent lorsqu’une application accepte l’entrée de l’utilisateur sans nettoyer ou désinfecter l’entrée. Cela peut faire en sorte que l’application Web interprète l’entrée de confiance comme un code, plutôt que seulement des données.
-
Authentification brisée. Il est essentiel de s’assurer que les processus d’authentification fonctionnent correctement. Le piratage de session et d’autres vulnérabilités sont souvent exploités et font partie de cette catégorie.
-
Exposition aux données sensibles. De nombreuses applications Web ne protègent pas correctement les données sensibles. Les exemples comprennent la révélation de la présence (ou de l’absence) d’un logiciel de sécurité, de mots de passe intégrés ou de listes de fichiers qui ne devraient pas être disponibles (p. ex., seaux S3 non protégés).
-
Entités externes XML (XXE). Il est courant pour les anciens moteurs XML de permettre aux documents XML de demander des données à partir d’autres fichiers, y compris des fichiers sur un système. Dans cette attaque, un pirate informatique peut téléverser un fichier XML qui demande des données sensibles sur le système cible.
-
Contrôle d’accès brisé . Séparément de l’authentification, le contrôle d’accès est ce qui détermine les niveaux d’accès dans un système. Les vulnérabilités d’escalade des privilèges et l’accès non autorisé aux consoles des développeurs sont des exemples de contrôle d’accès brisé.
-
Mauvaise configuration de la sécurité . S’assurer que vos applications et vos serveurs sont sécurisés selon les meilleures pratiques est essentiel et mis à niveau en temps opportun. Les configurations par défaut non sécurisées, les configurations incomplètes ou ad hoc, le stockage en nuage ouvert, les en-têtes HTTP mal configurés et les messages d’erreur verbe contenant des informations sensibles sont tous courants dans cette catégorie.
-
Scripts intersites XSS . Les vulnérabilités XSS existent lorsqu’un pirate informatique est en mesure de tromper une application Web pour charger des scripts non fiables. Cela peut être accompli en infectant les fichiers en amont ou en téléversant des fichiers dans l’application elle-même (p. ex., dans les formulaires de commentaires). Lorsqu’elles sont effectuées correctement, les attaques XSS peuvent être utilisées pour voler des sessions, des identifiants et d’autres données du navigateur des utilisateurs de l’application Web.
-
Désérialisation non sécurisée . Lorsque les données sont sérialisées et désérialisées à partir de l’entrée de l’utilisateur, elles doivent toujours être traitées comme des données non fiables. Il est courant de faire confiance aux données sérialisées, ou même d’exécuter des scripts à partir de ces données. Cela peut entraîner des vulnérabilités critiques qui peuvent s’aggraver en exécutions de codes à distance et d’autres problèmes.
-
Utilisation des composants avec des vulnérabilités connues. Les vulnérabilités connues doivent être traitées avant le lancement. De nombreux composants et cadres existent et contiennent des défauts qui, laissés non patrimoniaux, rendent votre application Web vulnérable aux compromis. De plus, assurez-vous d’utiliser les dernières versions corrigées de tous vos composants et de surveiller les sites des fournisseurs pour des mises à jour et des alertes critiques.
-
Surveillance de journalisation & insuffisante. Un manque de journalisation et de surveillance est courant dans la plupart des organisations. Si les attaques ne sont pas détectées, elles ne peuvent pas être arrêtées. Investir des ressources dans la journalisation et la surveillance de vos applications Web est essentiel pour la sécurité à court et à long terme.
Pour en savoir plus sur ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!