OWASPPrésenté par Marc-André Drapeau

Source de référence :

https://www.advens.fr/ressources/blog/nouveau-top-ten-owasp-2017-notre-analyse

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://www.acunetix.com/blog/articles/xml-external-entity-xxe-vulnerabilities/

https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection

Beaucoup de projets pour nous aider

https://www.owasp.org/index.php/OWASP_SAMM_Project

https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Ve

rification_Standard_Project

https://www.owasp.org/index.php/OWASP_Testing_Project

Top 10

2017

Comparaison

Classification

Ce qui ne change pas

A1 : Le risque numéro 1 reste l’attaque par Injection, notamment celle qui

permet l’exécution de code à distance : Injection SQL, NoSQL, LDAP, …

jusqu’aux injections de code au niveau système qui sont les plus

dévastatrices.

A2 : En deuxième position, les risques liés à une gestion incorrecte de

l’authentification ou du suivi des sessions.

A5 : Les références directes non sécurisées ont été fusionnées avec le

manque de contrôle d’accès fonctionnel.

A9 : Enfin, les problèmes de mise à jour des composants restent a la même

place que précédemment.

Ce qui a été retiré

CSRF : Seules 5% des applications restent vulnérables. Il faut dire

qu’aujourd’hui n’importe quel Framework de développement embarque ce

type de protection par défaut. Et rappeler que ces protections sont

efficaces… sous réserve que l’application ne souffre pas de Cross Site

Scripting.

Redirection et transferts non validés. Bien que présentes dans 8% des

applications, ces vulnérabilités ne représentent par un risque aussi important

que ceux ajoutés dans le Top 10 2017.

Ce qui a été ajouté

A4 : XML External Entities (XXE). Ce type d’attaque nécessite de mal coder

ou d’utiliser des processeurs XML dépréciés ou mal configurés. Reste toutefois

qu’en cas d’exploitation réussie, l’impact est très important.

A8 : 2017 – Insecure deserialization. La sérialisation permet de faire passer

des objets ou des structures de données plus ou moins complexes entre deux

programmes en les transformant dans un format « sérialisé », compréhensible

par les deux parties. Les problèmes surviennent au moment de reconstituer,

c’est à dire « dé-sérialiser », l’objet d’origine : un attaquant envoyant des

données malveillantes spécifiquement sérialisées pourra tenter d’exploiter

des vulnérabilités sur le système en charge de la désérialisation.

Ce qui a été ajouté

A10 : 2017 – Insufficient Logging & Monitoring. L’OWASP dans son rapport

rappelle qu’en moyenne 200 jours s’écoulent entre une intrusion et sa

détection. De plus, souvent la détection n’est pas faite par l’entreprise

vulnérable, mais par l’un de ses partenaires ou clients. Ce qui compte ce

n’est pas d’être invulnérable, mais de réduire au maximum le temps entre la

détection de la vulnérabilité et sa suppression. Les logs sont souvent

indispensables pour réduire cette période au maximum.

Déplacement

A3 : L’exposition de données sensibles passe de la 6ème à la 3ème place.

A7 : Le Cross-Site Scripting dégringole de la 3ème place à la 7ème place

A6 : Les mauvaises configurations passe de la 5ème à la 6ème

XXE (SSRF) – un aperçu

Data Type Definition (DTD)

Dénis de service

Vol d’information

Accès au réseau interne