L'OWASP
L'OWASP, ou Open Web Application Security Project, est un organisme à but non lucratif qui œuvre pour améliorer la sécurité des logiciels.
Chaque année, l'OWASP publie une liste des 10 vulnérabilités les plus critiques rencontrées dans les applications Web, appelée : Top 10 de l'OWASP.
Le top 10 de l'OWASP
Le top 10 de l'OWASP est très utilisée par les professionnels de la sécurité pour évaluer et améliorer la sécurité de leurs applications.
Voici le Top 10 de l'OWASP de 2021 :
-
Contrôles d'accès défaillants : Il s'agit de failles qui permettent à des utilisateurs non autorisés d'accéder à certaines fonctionnalités ou données.
-
Défaillances cryptographiques : Ce point concerne les erreurs de mise en œuvre de la cryptographie qui peuvent conduire à une divulgation d'informations sensibles.
-
Injection : Les attaques par injection se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d'une commande ou d'une requête.
-
Conception non sécurisée : Cette nouvelle catégorie englobe les erreurs de conception qui rendent l'application vulnérable.
-
Mauvaise configuration de sécurité : Cela inclut les configurations par défaut non sécurisées, les configurations incomplètes ou les erreurs de configuration.
-
Composants vulnérables et obsolètes : L'utilisation de composants avec des vulnérabilités connues peut rendre l'application vulnérable aux attaques.
-
Identification et authentification de mauvaise qualité : Les systèmes d'authentification et de session mal conçus peuvent permettre à un attaquant de compromettre les mots de passe, les clés ou les jetons de session.
-
Manque d'intégrité des données et du logiciel : Cette catégorie couvre les vulnérabilités qui permettent à un attaquant de modifier les données ou le logiciel.
-
Carence des systèmes de contrôle et de journalisation : L'absence de surveillance et de journalisation adéquates peut empêcher la détection d'activités malveillantes.
-
Falsification de requête côté serveur : Cette nouvelle catégorie couvre les attaques qui forcent le serveur à traiter des requêtes non autoris ées.