Le Top 10 OWASP est une classification des cyberattaques les plus courantes ou des plus grands risques de cybersécurité dont il faut se protéger dans les applications Web. L’objectif principal de l’OWASP est d’amener les développeurs de logiciels à produire un code plus sécurisé qui minimise de manière proactive ces risques de sécurité. Dans cet article de blog, nous discuterons de ce qu’est le Top 10 OWASP, pourquoi le Top 10 OWASP est important, quel est le Top 10 OWASP actuel et comment vous pouvez utiliser le Top 10 OWASP pour aider à minimiser les risques dans les applications Web.
Qu’est-ce que le Top 10 de l’OWASP ?
Le Top 10 OWASP est un classement des vulnérabilités les plus courantes sur les applications web. Il a été compilé par l’Open Web Application Security Project (OWASP), une organisation mondiale à but non lucratif dédiée à l’amélioration de la sécurité des logiciels. Le Top 10 de l’OWASP a été publié pour la première fois en 2004 et est mis à jour tous les trois ans. La version actuelle est le Top 10 OWASP 2021.
Le Top 10 de l’OWASP est un excellent point de départ pour en savoir plus sur la sécurité des applications Web et peut également être utilisé comme document de sensibilisation standard pour améliorer la sécurité des applications. Il est également reconnu par les développeurs comme la première étape vers un codage plus sécurisé. Le Top 10 de l’OWASP est basé sur un large consensus de plus de 200 experts de diverses industries à travers le monde.
Qu’est-ce que l’OWASP et pourquoi c’est important, c’est d’offrir une mine d’informations pour améliorer la sécurité des applications Web.
Pourquoi le Top 10 OWASP est-il important ?
Le Top 10 de l’OWASP est important car il aide les organisations à hiérarchiser les cyber-risques à atténuer tout en fournissant un langage commun pour discuter et traiter les risques de sécurité des applications Web. Il sert également de point de départ aux organisations pour développer leurs propres normes de sécurité personnalisées.
Dans l’ensemble, le Top 10 de l’OWASP aide à sensibiliser les développeurs, les professionnels de la cybersécurité, les organisations et les utilisateurs finaux aux risques de sécurité des applications. Le Top 10 de l’OWASP fournit des connaissances précieuses sur les vulnérabilités les plus courantes exploitées par les pirates et les moyens de les corriger. Au fil des ans, ce projet a également aidé la communauté à réaliser les objectifs suivants :
- Protégez leur code contre les vulnérabilités de cybersécurité.
- Augmentez le cryptage des applications.
- Réduisez les erreurs, les problèmes et les failles dans leur code.
Quelle est la liste actuelle des 10 meilleurs OWASP ?
Voici la liste actuelle des 10 principaux risques de sécurité de l’OWASP :
A01 – Contrôle d’accès cassé
Le non-respect de la politique de contrôle d’accès, à savoir que les utilisateurs ne peuvent pas agir en dehors de leurs autorisations prévues, peut entraîner des vulnérabilités, notamment la violation de l’utilisateur le moins privilégié, l’autorisation de consulter ou de modifier le compte de quelqu’un d’autre et l’élévation des privilèges.
A02 – Échecs cryptographiques
La première chose est de déterminer les besoins de protection des données en transit et au repos, qu’il s’agisse d’avoir ou non des données transmises en texte clair ou d’avoir ou non des mots de passe utilisés comme clés cryptographiques en l’absence d’une fonction de dérivation de clé basée sur un mot de passe.
A03 – Injection
Une application est vulnérable aux attaques, par exemple, lorsque les données fournies par l’utilisateur ne sont pas validées, filtrées ou nettoyées par l’application. Certaines des injections les plus courantes sont SQL, NoSQL, la commande du système d’exploitation, le mappage relationnel d’objet (ORM) et l’injection LDAP.
A04 – Conception non sécurisée
La conception non sécurisée est une vaste catégorie représentant différentes faiblesses, exprimées comme « conception de contrôle manquante ou inefficace ». L’un des facteurs qui contribuent à une conception non sécurisée est le manque de profilage des risques commerciaux inhérent au logiciel ou au système en cours de développement.
A05 – Mauvaises configurations de sécurité
L’application peut être vulnérable si l’application, par exemple, a des autorisations mal configurées sur les services cloud, des comptes par défaut et leurs mots de passe toujours activés, des messages d’erreur trop informatifs pour les utilisateurs ou des logiciels obsolètes ou vulnérables.
A06 – Composants vulnérables et obsolètes
Vous êtes probablement vulnérable si vous ne connaissez pas les versions de tous les composants que vous utilisez, si vous ne recherchez pas régulièrement les vulnérabilités ou si les développeurs de logiciels ne testent pas la compatibilité des bibliothèques mises à jour, mises à niveau ou corrigées.
A07 – Échecs d’identification et d’authentification
Il peut y avoir des faiblesses d’authentification si l’application, par exemple, permet des attaques automatisées telles que le credential stuffing, la force brute ou d’autres attaques automatisées, ou si l’authentification multifacteur est manquante ou inefficace.
A08 – Échecs de l’intégrité des logiciels et des données
Les défaillances d’intégrité des logiciels et des données concernent le code et l’infrastructure qui ne protègent pas contre les violations d’intégrité, permettant aux attaquants de télécharger leurs propres mises à jour, ou lorsque des objets ou des données sont encodés ou sérialisés dans une structure qu’un attaquant peut voir et modifier.
A09 – Échecs de journalisation et de surveillance de la sécurité
Une journalisation, une détection, une surveillance et une réponse active insuffisantes se produisent à tout moment, par exemple lorsque des événements auditables ne sont pas consignés ou lorsque l’application ne peut pas détecter, escalader ou alerter en cas d’attaques actives en temps réel ou quasi réel.
A10 – Contrefaçon de requête côté serveur
Les failles SSRF se produisent chaque fois qu’une application Web récupère une ressource distante sans valider l’URL fournie par l’utilisateur, ce qui permet à un attaquant de contraindre l’application à envoyer une requête spécialement conçue vers une destination inattendue.
Comment utiliser le Top 10 OWASP pour minimiser les risques dans les applications web ?
Il existe de nombreuses façons de tirer parti du Top 10 de l’OWASP pour aider votre organisation à améliorer la sécurité des applications :
- Politique de sécurité des applications : utilisez-la dans le cadre de votre politique de sécurité des applications, en indiquant quels risques sont acceptables et lesquels ne le sont pas.
- Sensibilisation et formation : utilisez-le dans le cadre de votre programme de sensibilisation et de formation pour éduquer les développeurs, les spécialistes de l’assurance qualité et d’autres personnes sur les risques les plus courants dans les applications Web.
- Examen de la conception des applications : utilisez-le lors des examens de la conception des applications pour identifier les risques de sécurité potentiels au début du cycle de développement.
- Modélisation des menaces applicatives : utilisez-la conjointement avec des exercices de modélisation des menaces applicatives pour identifier et hiérarchiser les risques de sécurité.
- Tests de sécurité des applications : utilisez-les dans le cadre de votre stratégie de test de sécurité des applications, par exemple, pour vous assurer que tous les tests couvrent au moins l’un des dix principaux risques.
- Évaluation des risques liés aux applications : incluez le Top 10 de l’OWASP dans la méthodologie d’évaluation des risques liés aux applications de votre organisation.
- Cycle de développement logiciel : utilisez-le comme liste de contrôle pendant le cycle de vie du développement logiciel, notamment pour la collecte des exigences, la conception, le codage, les tests et le déploiement.
- Sécurité opérationnelle : utilisez-la pour évaluer l’application du point de vue de la sécurité opérationnelle. Par exemple, assurez-vous que des contrôles de sécurité appropriés sont en place pour prévenir ou détecter les attaques exploitant les risques identifiés.
- Évaluation continue des risques : utilisez-la dans le cadre du programme d’évaluation continue des risques de votre organisation pour identifier les risques les plus pertinents pour votre organisation à un moment donné.
Le Top 10 de l’OWASP est un excellent point de départ pour tous ceux qui cherchent à améliorer la sécurité de leurs applications Web. En l’utilisant comme liste de contrôle, vous pouvez vous assurer que vous traitez les risques les plus courants dans les applications Web.
Emballer
La liste des 10 meilleurs OWASP est une excellente ressource pour commencer à changer la culture de développement logiciel avec l’intégration des principes de conception de sécurité à un stade précoce. Un changement dans la culture de développement d’applications se traduirait par des applications et des systèmes Web plus sécurisés. En attendant, votre organisation peut utiliser le Top 10 de l’OWASP comme liste de contrôle pour test d’intrusion intrusion.
Contactez-nous si vous avez besoin d’aide avec votre programme de sécurité des applications .
