earth
Get a demo
Log in

Le top 10 2021 de l’OWASP

Qu’est-ce que l’OWASP ? L’OWASP (Open Web Application Security Project) est une organisation à but non lucratif dont l’objectif est d’améliorer la sécurité des sites web. Elle fournit des programmes

OWASP-top-10

Qu’est-ce que l’OWASP ?

L’OWASP (Open Web Application Security Project) est une organisation à but non lucratif dont l’objectif est d’améliorer la sécurité des sites web. Elle fournit des programmes de développement de logiciels libres, des projets, des boîtes à outils, des chapitres locaux, des conférences, des articles, des vidéos, des forums, des méthodologies, de la documentation et des technologies à sa communauté. L’un de leurs projets les plus importants est le top 10 de l’OWASP. Avant l’OWASP, il n’y avait pas beaucoup d’outils ou de connaissances disponibles sur la cybersécurité. Avec l’OWASP, la communauté a commencé à apprendre comment protéger son code contre les vulnérabilités, renforcer le cryptage des logiciels et réduire le nombre de bogues dans son code.

applications web owasp

Qu’est-ce que le top 10 de l’OWASP ?

Le top 10 de l’OWASP est un document qui répertorie les dix vulnérabilités les plus critiques en matière de sécurité des sites web. Il indique les risques, les impacts et les contre-mesures. Cette liste est établie par des experts en sécurité des sites web du monde entier. L’OWASP recommande à toutes les entreprises d’intégrer les conclusions du rapport et les recommandations de l’OWASP dans leurs processus de sécurité des sites web afin de minimiser les risques de sécurité. Le top 10 de l’OWASP est mis à jour tous les trois ou quatre ans. Le dernier top 10 de l’OWASP a été publié en 2017, et l’OWASP a également publié récemment un projet de top 10 2021. Il y a trois nouvelles catégories. Quatre catégories ont changé de nom ou de portée et certaines sont maintenant combinées.Les vulnérabilités du top dix 2021 de l’OWASP sont :

  • Contrôle d’accès défaillant
  • Défaillances cryptographiques (anciennement : Exposition de données sensibles)
  • Injection
  • Insecure Design (Nouveau)
  • Mauvaise configuration de la sécurité
  • Composants vulnérables et obsolètes (anciennement : Utilisation de composants dont les vulnérabilités sont connues)
  • Défauts d’identification et d’authentification (anciennement : Authentification défaillante)
  • Défauts d’intégrité des logiciels et des données (Nouveau)
  • Défaillances en matière de journalisation et de surveillance de la sécurité (anciennement : Journalisation et surveillance insuffisantes)
  • Falsification des requêtes côté serveur (SSRF) (Nouveau)

Chaque vulnérabilité est expliquée à l’aide d’un exemple et des recommandations de l’OWASP.

vulnérabilités owasp

Les dix principales vulnérabilités de l’OWASP pour 2021

Défaillances cryptographiques

Qu’est-ce que c’est ?

Les défaillances cryptographiques sont des données compromises qui auraient dû être protégées. Ce problème concerne surtout les données qui relèvent de la législation sur la protection de la vie privée.

Exemples :

  • Mots de passe
  • Numéros de cartes de crédit
  • Informations médicales
  • Titres de compétences
  • Numéros de sécurité sociale
  • Informations personnelles identifiables
  • Autres informations personnelles
  • Secrets d’affaires

Recommandations de l’OWASP :

  • Classer les données utilisées par une application et identifier les données sensibles.
  • Ne stockez pas inutilement des données sensibles.
  • Cryptez toutes les données sensibles au repos. Cryptez toutes les données en transit à l’aide de protocoles sécurisés. Utilisez un chiffrement authentifié.
  • Utilisez une gestion appropriée des clés. Générez des clés cryptographiquement aléatoires et stockées en mémoire sous forme de tableaux d’octets.
  • Désactivez la mise en cache des réponses contenant des données sensibles.
  • Appliquer les contrôles de sécurité requis en fonction de la classification des données.
  • N’utilisez pas les protocoles traditionnels tels que FTP et SMTP pour les données sensibles.
  • Utilisez des fonctions de hachage adaptatives et salées fortes avec un facteur de travail pour stocker les mots de passe.
  • Choisissez les vecteurs d’initialisation pour le mode de fonctionnement approprié.
  • Utilisez l’aléa cryptographique le cas échéant, de manière non prévisible et avec une faible entropie.
  • Évitez les fonctions cryptographiques et les schémas de remplissage obsolètes.
  • Vérifier l’efficacité de la configuration et des paramètres de manière indépendante.
les défaillances cryptographiques

Injection

Qu’est-ce que c’est ?

Cette vulnérabilité survient lorsqu’une application web reçoit des données non valides de la part d’un pirate qui lui fait faire quelque chose pour lequel elle n’est pas programmée.

Exemple :

L’injection SQL est l’une des failles d’injection les plus courantes. L’injection SQL est causée par l’utilisation de données non fiables lors de la construction d’un appel SQL vulnérable. L’absence de validation et d’assainissement des données utilisées par les applications web fait que les données ne sont pas fiables. Cela signifie également que la vulnérabilité de l’injection de code peut être présente sur presque tous les types de technologies liées aux sites web.

Recommandations de l’OWASP :

  • Séparer les données des commandes et des requêtes.
  • L’utilisation d’un API sûr est l’option préférée.
  • Utilisez une validation positive ou « liste blanche » des entrées côté serveur.
  • Échapper aux caractères spéciaux à l’aide d’une syntaxe d’échappement spécifique.
  • Utiliser LIMIT et d’autres contrôles SQL dans les requêtes.
injection de code

Insecure Design (Nouveau)

Qu’est-ce que c’est ?

Une conception non sécurisée est une conception de contrôle manquante ou inefficace. Une conception non sécurisée et une mise en œuvre non sécurisée ne sont pas la même chose. Elles ont des causes profondes et des remèdes différents.

Exemple :

L’incapacité à déterminer le niveau de sécurité requis.

Recommandations de l’OWASP :

  • Mettre en œuvre la gestion des exigences et des ressources, une conception sécurisée et un cycle de développement sécurisé.
  • Mettre en œuvre un cycle de développement sécurisé pour aider à établir des contrôles de sécurité et de respect de la vie privée.
  • Utilisez une bibliothèque de modèles de conception sécurisés ou des composants prêts à l’emploi.
  • Utilisez la modélisation des menaces pour l’authentification critique, la logique d’entreprise, le contrôle d’accès et les flux de clés.
  • Intégrer le langage et les contrôles de sécurité dans les récits des utilisateurs.
  • Intégrez des contrôles de plausibilité à chaque niveau de votre application.
  • Rédigez des tests unitaires et d’intégration pour valider que tous les flux critiques sont résistants au modèle de menace. Établissez des cas d’utilisation et de mauvaise utilisation.
  • Séparer les couches de niveau sur les couches système et réseau. Séparez les locataires de manière robuste par la conception à travers tous les niveaux.
  • Limiter la consommation de ressources par utilisateur ou par service.

Mauvaise configuration de la sécurité

Qu’est-ce que c’est ?

La vulnérabilité de mauvaise configuration de la sécurité se produit lorsqu’une application ne dispose pas d’un processus de configuration de la sécurité concerté et reproductible. Elle peut être attaquée en essayant autant de combinaisons que possible.

Exemple :

L’une des failles de sécurité les plus courantes des sites web consiste à conserver les configurations par défaut du CMS.

Recommandations de l’OWASP :

  • Mettre en œuvre des processus d’installation sécurisés :
  • Automatiser un processus de durcissement.
  • Déployez un autre environnement correctement verrouillé.
  • Supprimez les cadres et les fonctionnalités inutilisés.
  • Examinez et mettez à jour les configurations en fonction de toutes les mises à jour, notes de sécurité et correctifs.
  • Passez en revue les autorisations de stockage dans le nuage.
  • Mettez en œuvre une architecture d’application segmentée, avec la conteneurisation, la segmentation ou les groupes de sécurité en nuage.
  • Envoyer des directives de sécurité aux clients.
  • Mettre en œuvre un processus automatisé pour vérifier l’efficacité des paramètres et des configurations dans tous les environnements.
mauvaise configuration de la sécurité

Composants vulnérables et obsolètes

Qu’est-ce que c’est ?

De nos jours, même les sites web les plus simples présentent de nombreuses vulnérabilités. Si vous ne mettez pas à jour tous les logiciels d’un site web, vous vous exposez tôt ou tard à des risques pour la sécurité de votre site.

Recommandations de l’OWASP :

  • Mettez en œuvre un processus de gestion des correctifs :
  • Supprimez les dépendances inutilisées.
  • Faites l’inventaire des composants côté serveur et côté client et de leurs dépendances.
  • Surveillez les sources courantes d’information sur les vulnérabilités.
  • N’obtenez des composants que de sources officielles.
  • Surveillez les composants et les bibliothèques qui ne sont pas maintenus ou qui ne créent pas de correctifs de sécurité pour les anciennes versions.
  • Assurez un plan permanent de triage, de surveillance et d’application des changements de configuration ou des mises à jour pendant toute la durée de vie de l’application.

Défauts d’identification et d’authentification

Qu’est-ce que c’est ?

Une vulnérabilité d’authentification brisée peut être attaquée à l’aide de méthodes automatiques ou manuelles. De cette manière, un attaquant peut prendre le contrôle de n’importe quel compte qu’il souhaite ou même de l’ensemble du système.

Exemples :

  • Validation incorrecte d’un certificat avec incompatibilité d’hôte
  • Authentification incorrecte
  • Fixation de la session

Recommandations de l’OWASP :

  • Mettez en œuvre l’authentification multifactorielle dans la mesure du possible.
  • Ne déployez pas et ne livrez pas avec des informations d’identification par défaut.
  • Alignez les politiques de complexité, de longueur et de rotation des mots de passe sur des politiques de mots de passe fondées sur des données probantes.
  • Utilisez les mêmes messages pour tous les résultats afin de garantir que vos voies d’enregistrement, de récupération des informations d’identification et d’API sont protégées contre les attaques par énumération de comptes.
les échecs d'identification et d'authentification

Défauts d’intégrité des logiciels et des données (Nouveau)

Qu’est-ce que c’est ?

Les failles dans l’intégrité des logiciels et des données sont des vulnérabilités liées au code et à l’infrastructure qui ne sont pas protégés contre les violations de l’intégrité.

Exemples :

  • Lorsque des plugins, des bibliothèques, des modules provenant de dépôts, de sources non fiables ou de réseaux de diffusion de contenu sont utilisés dans l’application.
  • L’existence d’une canalisation non sécurisée peut entraîner l’apparition de codes malveillants, la compromission du système ou un accès non autorisé.
  • Les mises à jour sont téléchargées sans vérification suffisante de l’intégrité et sont appliquées à l’application précédemment approuvée.

Recommandations de l’OWASP :

  • Utilisez des signatures numériques ou des mécanismes similaires.
  • Assurez-vous que les dépendances et les bibliothèques consomment des dépôts fiables.
  • Vérifiez que les composants ne contiennent pas de vulnérabilités connues en vous assurant qu’un outil de sécurité de la chaîne d’approvisionnement des logiciels est utilisé.
  • Veillez à ce qu’il existe un processus d’examen des changements de configuration et de code afin de minimiser le risque de code malveillant.
  • Veillez à ce que le pipeline dispose d’une configuration, d’une séparation et d’un contrôle d’accès adéquats pour garantir l’intégrité du code.
les défaillances du logiciel et de l'intégrité des données

Défaillances dans l’enregistrement et la surveillance de la sécurité

Qu’est-ce que c’est ?

Les défaillances en matière de journalisation et de surveillance de la sécurité surviennent lorsque la journalisation, la détection et la surveillance sont insuffisantes. En l’absence d’une journalisation et d’une surveillance suffisantes, les violations ne peuvent pas être détectées.

Exemples :

  • Les événements vérifiables ne sont pas enregistrés.
  • Les avertissements et les erreurs génèrent des messages peu clairs ou pas du tout.
  • Les journaux des applications et des API ne sont pas contrôlés.
  • Les journaux ne sont stockés que localement.
  • Pas de seuil d’alerte approprié ni de processus d’escalade de la réponse en place
  • Les tests de pénétration et les analyses effectuées par des outils de test dynamique de la sécurité des applications ne déclenchent pas d’alertes.
  • L’application ne peut pas détecter les attaques actives en temps réel.

Recommandations de l’OWASP :

  • Veillez à ce que tous les échecs de contrôle d’accès, de connexion et de validation des entrées côté serveur puissent être enregistrés avec un contexte utilisateur suffisant.
  • Assurez-vous que les journaux sont générés dans un format que les solutions de gestion des journaux peuvent facilement exploiter.
  • Prévenez les attaques contre les systèmes d’enregistrement ou de surveillance en codant correctement les données d’enregistrement.
  • Empêchez la falsification ou la suppression en veillant à ce que les transactions de grande valeur disposent d’une piste d’audit avec des contrôles d’intégrité.
  • Mettre en place un système de surveillance et d’alerte efficace.
  • Établir un plan de réponse et de récupération en cas d’incident.
les défaillances en matière de journalisation et de surveillance de la sécurité

Falsification de requête côté serveur (SSRF) (Nouveau)

Qu’est-ce que c’est ?

Un attaquant peut envoyer une requête élaborée avec l’application lorsqu’une application web récupère une ressource distante sans valider l’URL fournie par l’utilisateur.

Recommandations de l’OWASP :

  • Réduire l’impact du SSRF. Segmenter la fonctionnalité d’accès aux ressources distantes dans des réseaux distincts.
  • Appliquer des politiques de pare-feu ou des règles de contrôle d’accès au réseau « refusées par défaut ». Bloquez tout le trafic sauf celui qui est essentiel.
  • Assainissez et validez toutes les données d’entrée fournies par le client. Utilisez une liste positive d’autorisations pour appliquer le schéma d’URL, le port et la destination. N’envoyez pas de réponses brutes aux clients. Désactivez les redirections HTTP. Veillez à la cohérence de l’URL.
  • Ne déployez pas d’autres services liés à la sécurité sur les systèmes frontaux.
  • Utilisez le cryptage réseau sur des systèmes indépendants pour les frontaux avec des groupes d’utilisateurs dédiés et gérables.

Découvrez l’isolation des applications web Jimber

Le Jimber Web Application Isolation protège vos applications d’entreprise à l’aide d’un conteneur. Vos données sont interprétées dans le conteneur et seule la visualisation graphique de ces données parvient à l’utilisateur final. Les attaquants ne peuvent interagir qu’avec la couche Jimber, mais plus directement avec les API de l’application. L’isolation des applications web Jimber répond aux exigences les plus élevées et garantit la sécurité des sites web. L’isolation des applications web Jimber atténue de nombreuses vulnérabilités du top 10 2021 de l’OWASP, en n’exposant pas directement les API. Certaines vulnérabilités peuvent être expliquées plus en détail. Gardez à l’esprit que Jimber Web Application Isolation fonctionne en plus de vos mesures de sécurité actuelles. Il ne peut pas empêcher toutes les vulnérabilités possibles à lui seul. Cependant, il renforcera toutes les mesures de sécurité existantes et fournira une solide couche de protection supplémentaire.

sécurité des sites web owasp

Contrôle d’accès défaillant

Étant donné que l’isolation des applications n’intervient pas dans l’application elle-même, il n’est pas possible d’empêcher l’interruption du contrôle d’accès. Cependant, l’enregistrement de l’écran peut montrer qui a utilisé le contrôle d’accès.

Défaillances cryptographiques

L’isolation de nos applications ne peut pas protéger contre les fuites de données sensibles. Cependant, l’utilisation de l’enregistrement d’écran permet d’avoir une trace des données auxquelles l’utilisateur a accédé.

Injection

En empêchant l’utilisateur d’accéder directement aux API, l’isolation de notre application web empêchera la plupart des possibilités d’injection. Elle empêchera également les attaques par débordement de mémoire tampon. La protection du frontend / la vérification des entrées est maintenant une sécurité. Nous ne pouvons pas empêcher totalement les XSS. Nous pouvons cependant empêcher les XSS d’accéder à des ressources externes, et donc prévenir les fuites de données. Nous pouvons également détecter les anomalies dans le trafic de données. En outre, nous analysons les URL à la recherche de scripts.

Mauvaise configuration de la sécurité

En n’autorisant pas l’envoi direct de XML au service dorsal, XXE est virtuellement impossible. La surface pour les erreurs de configuration de la sécurité devient beaucoup plus petite, puisque la sécurité optique est la sécurité.

Composants vulnérables et obsolètes

De nombreux composants vulnérables et obsolètes sont exploités en accédant directement aux API. Cet angle d’attaque spécifique des composants vulnérables et obsolètes devient impossible avec Jimber Web Application Isolation.

Défauts d’identification et d’authentification

En mettant en œuvre oAuth ou l’authentification par clé publique/privée sur votre application SaaS ou votre intranet, nous pouvons protéger l’authentification avec la plus grande sécurité possible.

Défaillances dans l’enregistrement et la surveillance de la sécurité

En plus de l’enregistrement et de la surveillance de votre logiciel ou service, nous pouvons ajouter l’enregistrement vidéo, l’enregistrement des actions du clavier et de la souris ainsi que la détection d’anomalies ici. Découvrez l’isolation des applications Web Jimber à l’adresse https://jimber.io/web-application-security/Read. Pour en savoir plus sur le top 10 de 2021 de l’OWASP, rendez-vous sur leur site web : https://owasp.org/Top10/.

Find out how we can protect your business

In our demo call we’ll show you how our technology works and how it can help you secure your data from cyber threats.

Get a demo
Contact us
Cybersecurity
Are you an integrator or distributor?

Need an affordable cybersecurity solution for your customers?

We’d love to help you get your customers on board.

Explore our partnerships
checkmark

White glove onboarding

checkmark

Team trainings

checkmark

Dedicated customer service rep

checkmark

Invoices for each client

checkmark

Security and Privacy guaranteed