8 septembre 2011

OWASP Top 10 – 2010 : Les Risques de Sécurité Applicatifs les plus critiques

L'Open Web Application Security Project (OWASP) est une communauté ouverte dédiée à aider les entreprises à développer, acquérir et maintenir des applications de confiance.À l'OWASP,vous trouverez (en accès libre et gratuit)...
§  Outils et normes de sécurité applicatifs
§  Livres entiers consacrés aux tests de sécurité applicatifs, programmation sécurisée et à l'audit de code
§  Contrôles de sécurité standard et bibliothèques
§  Chapitres locaux dans le monde

§  Recherche de pointe
§  Grandes conférences dans le monde entier
§  Mailing lists
§  Et beaucoup plus…sur www.owasp.org

OWASP est aujourd'hui reconnu dans le monde de la sécurité des systèmes d'information pour ses travaux sur les applications Web. Parmi eux, les projets les plus connus sont les suivants :
v  Top Ten OWASP : le but de ce projet est de fournir une liste des 10 Risques de Sécurité Applicatifs Web les Plus Critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité et est cité par divers organismes (DoD, PCI Security Standard).
v  WebGoat : il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web.
v  OWASP Code Review Guide : il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité.

A1 –Injection
•Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées.
A2 –Cross-Site Scripting (XSS)
•Les failles XSS se produisent chaque fois qu'une application prend des données non fiables et les envoie à un browser web sans validation appropriée. XSS permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants.
A3 –Violation de Gestion d'Authentification et de Session
•Les fonctions applicatives relatives à l'authentification et la gestion de session ne sont souvent pas mises en œuvre correctement, permettant aux attaquants de compromettre les mots de passe, clés, jetons de session, ou d'exploiter d'autres failles d'implémentation pour s'approprier les identités
d'autres utilisateurs.

A4 –Références directes non sécurisées à un Objet
•Une référence directe à un objet se produit quand un développeur expose une référence à un objet d'exécution interne, tel un fichier, un dossier, un enregistrement de base de données, ou une clé de base de données. Sans un contrôle d'accès ou autre protection, les attaquants peuvent manipuler ces références pour accéder à des données non autorisées..

A5 –Falsification de requête intersite(CSRF)
•Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifiée à envoyer une requête http forgée, comprenant le cookie de session de la victime ainsi que toute autre information automatiquement inclue, à une application web vulnérable. Ceci permet à l'attaquant de forcer le navigateur de la victime à générer des requêtes dont l'application vulnérable pense qu'elles émanent légitiment de la victime

A6 –Mauvaise configuration Sécurité
•Une bonne sécurité exige d'avoir une configuration sécurisée définie et déployée pour l'application, les contextes, serveur d'application, serveur web, serveur de base de données, et la plate-forme.
Tous ces paramètres doivent être définis, mis en œuvre, et maintenu afin de ne pas comprendre de failles de sécurité. Ceci inclut de maintenir tous les logiciels à jour, y compris toutes les bibliothèques de code employées par l'application.

A7 –Stockage Cryptographique non Sécurisé
•Beaucoup d'applications web ne protègent pas correctement les données sensibles, telles que les cartes de crédit, SSNs, les informations d'authentification, avec un chiffrement ou un hash approprié.
Les pirates peuvent voler ou de modifier ces données faiblement protégées pour perpétrer un vol d'identité et d'autres crimes, tels que la fraude à la carte de crédit.

A8 -Manque de Restriction d’Accès URL
•Beaucoup d'applications web vérifient les droits d'accès URL avant de rendre les liens protégés. Cependant, les applications doivent effectuer des contrôles d'accès similaires chaque fois que ces pages sont accédées, ou les attaquants seront en mesure de forger des URL pour accéder à ces pages
cachées de toute façon.

A9 –Protection insuffisante de la couche Transport
•Les applications ont souvent du mal à authentifier, chiffrer et protéger la confidentialité et l'intégrité d’un trafic réseau sensible. Quand elles le font, elles supportent parfois des algorithmes faibles, utilisent des certificats expirés ou invalides, ou ne les emploie pas correctement.

A10 –Redirections et Renvois non validés
•Les applications web réorientent et font suivre fréquemment les utilisateurs vers d'autres pages et sites web, et utilisent des données non fiables pour déterminer les pages de destination. Sans validation
appropriée, les attaquants peuvent rediriger les victimes vers des sites de phishing ou de logiciel malveillant, ou utiliser les renvois pour accéder à des pages non autorisées.



Sources :

Aucun commentaire:

Enregistrer un commentaire