Bonne nouvelle, OWASP n’a pas chômé cet été ! L’article du jour nous fait part d’une nouvelle assez intéressante : La version révisée du top 10 des vulnérabilités de l’OWASP a été publiée.
C’est parti pour découvrir ensemble les nouveautés de cette mouture 2021 du top 10 OWASP!
OWASP
Nous ne pouvons pas produire cet article sans présenter ce qu’est l’OWASP.
Alors, l’OWASP (Open Web Application Security Project) est une communauté ouverte dédiée à permettre aux organisations de développer, acheter et maintenir des applications et des API fiables. Cette communauté offre des ressources gratuites et open-source comme:
- Outils et normes de sécurité des applications.
- Livres complets sur les tests de sécurité des applications, le développement de code sécurisé et la revue de code sécurisé.
- Aide-mémoire sur de nombreux sujets courants
- Présentations et vidéos
- Conférences à travers le monde.
En savoir plus sur l’OWASP ici.
Le top 10 des vulnérabilités web
Le Top 10 OWASP est un document de sensibilisation standard pour les développeurs et la sécurité des applications Web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web. En fonction des réalités du monde de la cybersécurité, ce top 10 est revu chaque quadriennal.
La récente version était sortie en 2017. Alors la nouvelle version est en cours de publication cette année. Que contient-t-elle ?
Comparativement au top 10 de 2017, celle en cours de publication contient trois nouvelles catégories, quatre catégories avec des changements de nom et de portée, et une certaine consolidation dans le Top 10 pour 2021.
Broken Access Control
(Control d’accès dysfonctionnel)
Il monte de la cinquième position et concerne l’élévation des privilèges, la modification d’URL malveillante, le contournement du contrôle d’accès, la mauvaise configuration CORS et la falsification des clés primaires.
Cryptographic Failures
(Faiblesses cryptographiques)
Cette catégorie passe en deuxième position. Anciennement connu sous le nom d’exposition aux données sensibles, qui était un symptôme général plutôt qu’une cause première. L’accent est mis sur les défaillances liées à la cryptographie qui conduisent souvent à l’exposition de données sensibles ou à la compromission du système.
Injection
Cette catégorie descend en troisième position. 94% des applications ont été testées pour une certaine forme d’injection, et les 33 CWE mappés dans cette catégorie ont le deuxième plus grand nombre d’occurrences dans les applications. C’est pourquoi le XSS fait désormais partie de cette catégorie dans cette édition.
Insecure Design
(Conception non sécurisée)
C’est une nouvelle catégorie pour 2021, avec un accent sur les risques liés aux défauts de conception. Si nous voulons vraiment « aller à gauche » en tant qu’industrie, cela nécessite une plus grande utilisation de la modélisation des menaces, des modèles et principes de conception sécurisés et des architectures de référence.
Security Misconfiguration
(Mauvaise configuration de sécurité)
Elle quitte la sixième position de l’édition passée. Les applications peuvent être considérées comme vulnérables si elles manquent de renforcement de la sécurité; s’il existe des fonctionnalités inutiles comme une main trop ouverte en ce qui concerne les privilèges; si les comptes par défaut sont maintenus actifs et si les fonctionnalités de sécurité ne sont pas configurées correctement. L’ancienne catégorie des entités externes XML (XXE) fait désormais partie de cette catégorie.
Vulnerable and Outdated Components
(Composants vulnérables et obsolètes)
Précédemment intitulé <Utilisation de composants avec des vulnérabilités connues>, cette catégorie se concentre sur les composants côté client et côté serveur, les échecs de maintenance des composants, les systèmes de support obsolètes – tels qu’un système d’exploitation, des serveurs Web ou des bibliothèques – ainsi que la mauvaise configuration des composants.
Identification and Authentication Failures
(Identification et faiblesses d’authentification)
En ce qui concerne cette catégorie, elle inclut désormais les CWE relatifs aux mauvaises authentifications; les faibles identifiants; des incohérences de certificats; l’autorisation d’informations d’identification faibles et un manque de protection contre les attaques par force brute.
Software and Data Integrity Failures
(Défaillances de logiciel et de l’intégrité des données)
L’intégrité est le point central de cette catégorie, et tout manquement à le faire correctement, comme la désérialisation de données non fiables ou la non-vérification du code et des mises à jour lorsqu’ils sont extraits d’une source distante.
Security Logging and Monitoring Failures
(échecs de journalisation et de surveillance de sécurité)
Les problèmes qui peuvent entraver l’analyse d’une violation de données ou d’une autre forme d’attaque, y compris les problèmes de journalisation; l’échec d’enregistrement des flux d’informations pertinents pour la sécurité ou la journalisation des données uniquement localement relèvent de cette catégorie.
Server-Side Request Forgery
(Contrefaçon de requête côté serveur)
Les vulnérabilités SSRF se produisent lorsqu’un serveur ne valide pas les URL soumises par les utilisateurs lorsqu’ils récupèrent des ressources distantes. L’OWASP affirme que l’adoption de services cloud et d’architectures de plus en plus complexes ont augmenté la gravité des attaques SSRF.
Conclusion
Enfin, le nouveau classement des OWASP top 10 (et des autres versions) se base sur des sondages suivant un certain nombre de paramètres comme les CWE et le pourcentage d’applications testées concernées par de telles vulnérabilités.
A cet effet, que nos prochains tests d’intrusion considèrent donc les vulnérabilités présentes dans ce top 10.
Enjoy !
N’oublier pas de vous abonner à la newsletter pour ne rien rater !
