owasp top 10 2017 - cours de...owasp top 10 2017 author marc-andré drapeau created date 5/29/2019...
Post on 05-Aug-2020
2 Views
Preview:
TRANSCRIPT
OWASPExtrait des sources de référence :
https://www.advens.fr/ressources/blog/nouveau-top-ten-owasp-2017-notre-analyse
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://www.acunetix.com/blog/articles/xml-external-entity-xxe-vulnerabilities/
https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection
Beaucoup de projets pour nous aider
https://www.owasp.org/index.php/OWASP_SAMM_Project
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Ve
rification_Standard_Project
https://www.owasp.org/index.php/OWASP_Testing_Project
Top 10
2017
Comparaison
Classification
Ce qui ne change pas
A1 : Le risque numéro 1 reste l’attaque par Injection, notamment celle qui
permet l’exécution de code à distance : Injection SQL, NoSQL, LDAP, …
jusqu’aux injections de code au niveau système qui sont les plus
dévastatrices.
A2 : En deuxième position, les risques liés à une gestion incorrecte de
l’authentification ou du suivi des sessions.
A5 : Les références directes non sécurisées ont été fusionnées avec le
manque de contrôle d’accès fonctionnel.
A9 : Enfin, les problèmes de mise à jour des composants restent a la même
place que précédemment.
Extrait de l’article de Jérémie Jourdin, Responsable R&D,
Advens, https://www.advens.fr/ressources/blog/nouveau-
top-ten-owasp-2017-notre-analyse
Ce qui a été retiré
CSRF : Seules 5% des applications restent vulnérables. Il faut dire
qu’aujourd’hui n’importe quel Framework de développement embarque ce
type de protection par défaut. Et rappeler que ces protections sont
efficaces… sous réserve que l’application ne souffre pas de Cross Site
Scripting.
Redirection et transferts non validés. Bien que présentes dans 8% des
applications, ces vulnérabilités ne représentent par un risque aussi important
que ceux ajoutés dans le Top 10 2017.
Extrait de l’article de Jérémie Jourdin, Responsable R&D,
Advens, https://www.advens.fr/ressources/blog/nouveau-
top-ten-owasp-2017-notre-analyse
Ce qui a été ajouté
A4 : XML External Entities (XXE). Ce type d’attaque nécessite de mal coder
ou d’utiliser des processeurs XML dépréciés ou mal configurés. Reste toutefois
qu’en cas d’exploitation réussie, l’impact est très important.
A8 : 2017 – Insecure deserialization. La sérialisation permet de faire passer
des objets ou des structures de données plus ou moins complexes entre deux
programmes en les transformant dans un format « sérialisé », compréhensible
par les deux parties. Les problèmes surviennent au moment de reconstituer,
c’est à dire « dé-sérialiser », l’objet d’origine : un attaquant envoyant des
données malveillantes spécifiquement sérialisées pourra tenter d’exploiter
des vulnérabilités sur le système en charge de la désérialisation.
Extrait de l’article de Jérémie Jourdin, Responsable R&D,
Advens, https://www.advens.fr/ressources/blog/nouveau-
top-ten-owasp-2017-notre-analyse
Ce qui a été ajouté
A10 : 2017 – Insufficient Logging & Monitoring. L’OWASP dans son rapport
rappelle qu’en moyenne 200 jours s’écoulent entre une intrusion et sa
détection. De plus, souvent la détection n’est pas faite par l’entreprise
vulnérable, mais par l’un de ses partenaires ou clients. Ce qui compte ce
n’est pas d’être invulnérable, mais de réduire au maximum le temps entre la
détection de la vulnérabilité et sa suppression. Les logs sont souvent
indispensables pour réduire cette période au maximum.
Extrait de l’article de Jérémie Jourdin, Responsable R&D,
Advens, https://www.advens.fr/ressources/blog/nouveau-
top-ten-owasp-2017-notre-analyse
Déplacement
A3 : L’exposition de données sensibles passe de la 6ème à la 3ème place.
A7 : Le Cross-Site Scripting dégringole de la 3ème place à la 7ème place
A6 : Les mauvaises configurations passe de la 5ème à la 6ème
Extrait de l’article de Jérémie Jourdin, Responsable R&D,
Advens, https://www.advens.fr/ressources/blog/nouveau-
top-ten-owasp-2017-notre-analyse
XXE (SSRF) – un aperçu
Data Type Definition (DTD)
Dénis de service
Vol d’information
Accès au réseau interne
top related