OWASP_1: OWASP, de quoi s'agit-il?

OWASP, qui signifie Open Web Application Security Project, est une communauté en ligne qui produit des articles, des méthodologies, de la documentation, des outils et des technologies gratuitement disponibles dans le domaine de la sécurité des applications Web1. C’est une organisation à but non lucratif dirigée par des bénévoles dédiés à rendre les applications Web plus sécurisées.

Que fait OWASP ?

OWASP se concentre sur la sécurité des applications Web en tant que produits du cycle de vie du développement de logiciels (SDLC). Il fournit des ressources gratuites aux équipes de développement et encourage la participation active et le partage d’informations.

OWASP offre plusieurs ressources, notamment :

Publications OWASP : Il s’agit notamment du Top 10 OWASP, qui est une liste des 10 problèmes de sécurité les plus graves. Cette liste est mise à jour chaque année.
Guides pour la construction/test d’applications Web sécurisées : Ces guides fournissent des informations détaillées sur la façon de construire et de tester des applications Web pour garantir leur sécurité.
Outils/Documentation de qualité de sortie : Il s’agit d’outils et de documentation qui sont prêts à être utilisés dans un environnement de production.
Outils/Documentation de qualité bêta et alpha : Ces outils et cette documentation sont encore en cours de développement et peuvent ne pas être prêts pour un environnement de production.

Pourquoi OWASP est-il important ?

OWASP joue un rôle crucial dans la promotion du développement sécurisé de logiciels. Il aide les organisations à comprendre et à améliorer la sécurité de leurs applications Web. Grâce à ses ressources gratuites, OWASP rend la sécurité accessible à tous, pas seulement aux experts en sécurité.

J’espère que cela vous donne une bonne introduction à OWASP. Si vous avez d’autres questions ou si vous souhaitez approfondir certains aspects, n’hésitez pas à me le faire savoir !

Les 10 principaux risques liés à la sécurité des applications Web

A01:2021-Contrôles d'accès défaillants passe de la cinquième position à celle de catégorie présentant le risque de sécurité le plus sérieux pour une application web ; les données partagées indiquent, qu'en moyenne, 3,81% des applications testées avaient une ou plusieurs Common Weakness Enumeration (CWEs) avec plus de 318k occurrences de CWEs de cette catégorie. Les 34 CWEs associées ont eu plus d'occurrences dans les applications auditées que n'importe quelle autre catégorie.
A02:2021-Défaillances cryptographiques gagne une position et prend la deuxième place, précédemment connue sous le nom de A3:2017-Exposition de données sensibles, qui était un symptôme large plutôt qu'une cause principale. L'accent est mis sur des défaillances liées à la cryptographie, ce qui était le cas implicitement auparavant. Cette catégorie entraîne souvent une exposition de données sensibles ou une compromission de système.
A03:2021-Injection glisse à la troisième position. 94% des applications ont été testées sur des vulnérabilités de ce type, avec une incidence maximale de 19% et une incidence moyenne de 3,37%. Les 33 CWEs associées à cette catégorie ont eu le deuxième plus grand nombre d'occurrences. Cross-Site Scripting fait désormais partie de cette catégorie dans cette édition.
A04:2021-Conception non sécurisée est une nouvelle catégorie, avec un accent sur les défauts de conception. Si nous voulons ajouter des contrôles en amont, nous avons besoin de modèles de menaces, de modèles et principes de conception sécurisés, et d'architectures de référence. Une conception non sécurisée ne peut pas être corrigé par une implémentation parfaite car, par définition, les contrôles de sécurité nécessaires pour se défendre contre certaines attaques n'ont jamais été créés.
A05:2021-Mauvaise configuration de sécurité gagne une place ; 90% des applications ont été testées sur des vulnérabilités de ce type, avec une incidence moyenne de 4,5% et plus de 208k occurrences des CWEs associées. Avec des logiciels de plus en plus paramétrables, il n'est pas surprenant de voir cette catégorie prendre de l'ampleur. L'ancienne catégorie A4:2017-XML Entités externes (XXE) est incluse dans celle-ci.
A06:2021-Composants vulnérables et obsolètes était précédemment nommée Utilisation de Composants avec des Vulnérabilités Connues. Elle se place deuxième de l'enquête auprès de la communauté du Top 10, mais pouvait également entrer dans le Top 10 via l'analyse de données. Cette catégorie progresse depuis sa neuvième place en 2017, elle est un problème connu dont nous avons du mal à tester et à mesurer les risques. Il s'agit de la seule catégorie à n'avoir aucunes Common Vulnerability and Exposures (CVEs) associées aux CWEs concernées, en conséquence les coefficients d'impact et de poids ont été renseignés à 5.0 par défaut.
A07:2021-Identification et authentification de mauvaise qualité était précédemment Authentification de mauvaise qualité, elle perd la deuxième place. Elle inclut désormais des CWEs également liées aux échecs d'identification. Cette catégorie est toujours présente dans le Top 10, mais la mise à disposition croissante de frameworks standardisés semble aider.
A08:2021-Manque d'intégrité des données et du logiciel est une nouvelle catégorie, se concentrant sur la formulation d'hypothèses sur les mises à jour logicielles, les données critiques et les pipelines CI/CD sans vérifier leur intégrité. L'un des impacts les plus élevés à partir des données de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) associées aux 10 CWEs de cette catégorie. A8:2017-Désérialisation non sécurisée, listée en 2017, est désormais partie intégrante de cette catégorie.
A09:2021-Carence des systèmes de contrôle et de journalisation, précédemment A10:2017-Supervision et Journalisation Insuffisantes, est ajoutée de l'enquête auprès de l'industrie (3ème), précédemment à la dixième place. Cette catégorie a été étendue pour inclure plus de types de défaillances, est difficile à tester et est dès lors mal représentée dans les données CVE/CVSS. Toutefois, des incidents dans cette catégorie peuvent impacter directement la visibilité, la levée d'alertes et l'analyse forensique.
A10:2021-Falsification de requête côté serveur provient de l'enquête auprès de la communauté Top 10 (1ère). Les données montrent une incidence faible, avec un taux de couverture des tests supérieur à la moyenne, accompagné de notes de potentiel d'exploitabilité et d'impact supérieur à la moyenne. Cette catégorie est un exemple où les membres de la communauté sécurité nous indiquent que cette catégorie est importante, même si cela ne transparaît pas encore dans les données.

Modifié le: mardi 31 octobre 2023, 04:51