Pour gérer vos consentements :
Categories: Politique de sécuritéSécurité

Top 10 OWASP : quelles vulnérabilités surveiller sur les web apps ?

Prière de ne pas confondre erreur de conception et erreur d’implémentation. L’OWASP fait passer le message à l’heure d’actualiser son Top 10.

L’édition précédente de ce classement remontait à 2017. De l’une à l’autre, la thématique n’a pas changé. Il s’agit toujours de lister les principaux risques de sécurité sur les applications web. La nomenclature, en revanche, a évolué. Entre autres pour inclure les fameuses erreurs de conception comme une catégorie à part entière.

Cette catégorie fait son entrée au quatrième rang du Top 10. Parmi ses vulnérabilités les plus emblématiques, il y a :

  • Déclenchement de message d’erreur contenant des informations sensibles (CWE-209)
  • Violation de limite de confiance (CWE-501)
  • Protection insuffisante d’identifiants (CWE-522)

Tête de liste en 2017, la catégorie « injection » glisse en troisième position. Principales classes de vulnérabilités : le XSS (CWE-79), l’injection SQL (CWE-89) et le manipulation de noms ou de chemins de fichiers (CWE-73).

Le contrôle d’accès, des web apps

Troisième en 2017, la catégorie des problèmes cryptographiques (anciennement « exposition de données »est désormais deuxième. Les vulnérabilités qu’elle regroupe consistent principalement en :

  • Transmission de données en clair
  • Usage d’algorithmes, de protocoles ou de fonctions de hachage à risque
  • Clés de chiffrement faibles, réutilisées ou mal gérées (rotation notamment)
  • Randomisation inappropriée
  • Utilisation d’un mot de passe en tant que clé sans fonction de dérivation

Pour cette nouvelle édition, la palme revient à la catégorie « contrôle d’accès », cinquième en 2017. Elle est plus présente que toute autre catégorie dans les web apps que l’OWASP a testées. Des 34 CWE qui lui sont associées, il y a notamment l’exposition d’informations sensibles à un non autorisé (CWE-200) et par envoi de données (CWE-201). Mais la surface d’attaque potentielle comprend aussi, entre autres :

  • Violation du principe de moindre privilège ou de blocage par défaut
  • Contournement de vérifications par changement de l’URL, de l’état de l’application, de sa page HTML ou de requêtes API
  • Manipulation de métadonnées (jetons d’authentification, cookies, champs cachés…)
  • Navigation forcée vers des pages à privilèges
  • Accès à un compte en fournissant son identifiant
(cliquer sur l’image pour l’agrandir)

Illustration principale © Quardia Inc. – Adobe Stock

Share
Published by
Clément Bohic
Tags: OWASP
3 années ago

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

2 jours ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

2 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

2 jours ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

3 jours ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

3 jours ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

3 jours ago