Le guide
Le guide
📘 Dernier article
📖 Synopsis
ℹ️ Qui sommes-nous ?
✍Partenaires
💕Nos soutiens
🙏 Crédits (en cours)
📘 Dernier article
🔗 Nos liens
urgence
❤️‍🩹Kit d'aide digital
⚡Cybermalveillance
🚨 Informations d'urgences 🇫🇷
prévention
👁️‍🗨️ C'est quoi le phishing ?
🌐 Que peut-on faire avec une IP ?
Comment se rétracter lors d'un achat (ecommerce) ?
HELP
Dont ask to ask
Une alternative ?
🎓 Apprendre
Projets
Blukeys (en cours)
Communautés
Français
Comment bien écrire une liste ?
Cybersécurité - Hack
Outils
OWASP Top 10
On dit chiffrer plutôt que crypter
Web security academy - WSA
Write-up ctf
SANS - Formations en cybersécurité
Développement logiciels
Par où commencer ?
Principes et bonnes pratiques
Langages informatique
Technologies
Toute les documentations
Cryptomonnaie
Tips navigateur Brave | Laisser un pourboire
Town Star - Un bon démarrage
Infrastructure
Générateur de configuration SSL
Qualité ingénierie logicielle
CI/CD Dév
CI/CD d'une infra
🇬🇧 Introduction Mangle enables you to run chaos engineering experiments
Web
Inspecteur de code web
Liste des APIs publique ( en cours )
Apprendre le SEO naturel
Tips pour fusionner des communautés Discord
Qu’est-ce que le rp ?
Google Admin Toolbox HAR Analyzer
Couche haute
HUGO
🇬🇧 Deno Introduction with Practical Examples
React-native
🇬🇧 Angular HttpClient v9/8
🇬🇧 Compiler un front Angular variabilisé comme un chef
🇬🇧 Applying Angular Runtime Configurations in Dockerized Environments | Hacker Noon
Gaming
Installer Shadow Linux et Chrome book
Comment choisir son alimentation d'ordi ?
Linux
Git
Bash
Bases de linux
Installation LEMP sur Ubuntu 20.04 Digitalocean
🇬🇧 Wireguard VPN on Ubuntu 20.04
Comment installer et utiliser Docker sur Ubuntu 20.04 | DigitalOcean
Sécuriser son serveur Linux sous Ubuntu
Introduction à tmux (terminal multiplexer)
Bot
Héberger son bot Discord
setup
Rainmeter personnalise ton Win10
Virtualisation
🇬🇧 Dockerize Angular 9 App With Nginx
🇬🇧 How To Remove Docker Images, Containers, Networks & Volumes
Architecture
L'Art De Créer Des Diagrammes d'Architecture
Marketing
Tips sur les réseaux sociaux 2021
Gestions IT (pro/perso)
Méthodes Agiles
Savoir utiliser la méthode GTD (Getting Things Done)
Méthode QQCOQP : analyse et résolution des problèmes
Nouveautés
🇬🇧 Netflix-technologies
Autres
A classer
How to install Windows 10 root certificates [EASY STEPS]
Propulsé par GitBook

OWASP Top 10

Sécurité des applications web

Dans le monde de la cybersécurité, OWASP (Open Web Application Security Project) est incontournable. Une organisation à but non lucratif travaillant sur la sécurité des applications Web, sa philosophie est de rester open source et accessible à tous. Un de ses projets les plus connu vous sera présenté dans cet article.

Le projet OWASP Top 10 (https://owasp.org/www-project-top-ten/) est de fournir une liste des dix risques de sécurité les plus critiques affectant les applications web. Il est actuellement une référence dans le domaine de la sécurité informatique, il sensibilise autant les développeurs que les entreprises. La dernière mise à jour de ce classement a été faite en 2017 :

  1. Injection. Des failles d'injection, telles que l'injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non approuvées sont envoyées à un interpréteur dans le cadre d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent inciter l'interpréteur à exécuter des commandes involontaires ou à accéder aux données sans autorisation appropriée.

  2. Broken Authentication. Les fonctions applicatives liées à l'authentification et à la gestion de session sont souvent mal implémentées, permettant aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d'exploiter d'autres failles d'implémentation pour assumer temporairement ou définitivement l'identité des autres utilisateurs.

  3. Sensitive Data Exposure. De nombreuses applications Web et API ne protègent pas correctement les données sensibles, telles que les données financières, les soins de santé et les informations personnelles. Les attaquants peuvent voler ou modifier ces données faiblement protégées pour mener une fraude par carte de crédit, un vol d'identité ou d'autres crimes. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le cryptage au repos ou en transit, et nécessitent des précautions particulières lorsqu'elles sont échangées avec le navigateur.

  4. XML External Entities (XXE). De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d'entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l'aide du gestionnaire d'URI de fichier, des partages de fichiers internes, de l'analyse des ports internes, de l'exécution de code à distance et des attaques par déni de service.

  5. Broken Access Control. Les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et / ou des données non autorisées, telles que l'accès aux comptes d'autres utilisateurs, afficher des fichiers sensibles, modifier les données d'autres utilisateurs, modifier les droits d'accès, etc.

  6. Security Misconfiguration. Une mauvaise configuration de la sécurité est le problème le plus courant. Cela est généralement le résultat de configurations par défaut non sécurisées, de configurations incomplètes ou ad hoc, d'un stockage dans le cloud ouvert, d'en-têtes HTTP mal configurés et de messages d'erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d'exploitation, frameworks, bibliothèques et applications doivent être configurés en toute sécurité, mais ils doivent également être corrigés / mis à niveau en temps opportun.

  7. Cross-Site Scripting (XSS). Des failles XSS se produisent chaque fois qu'une application inclut des données non approuvées dans une nouvelle page Web sans validation ou échappement appropriée, ou met à jour une page Web existante avec des données fournies par l'utilisateur à l'aide d'une API de navigateur qui peut créer du HTML ou du JavaScript. XSS permet aux attaquants d'exécuter des scripts dans le navigateur de la victime qui peuvent détourner les sessions des utilisateurs, dégrader des sites Web ou rediriger l'utilisateur vers des sites malveillants.

  8. Insecure Deserialization. Une désérialisation non sécurisée conduit souvent à l'exécution de code à distance. Même si les failles de désérialisation n'entraînent pas l'exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, y compris des attaques de relecture, des attaques par injection et des attaques par élévation de privilèges.

  9. Using Components with Known Vulnerabilities. Les composants, tels que les bibliothèques, les frameworks et d'autres modules logiciels, s'exécutent avec les mêmes privilèges que l'application. Si un composant vulnérable est exploité, une telle attaque peut faciliter de graves pertes de données ou une prise de contrôle du serveur. Les applications et les API utilisant des composants avec des vulnérabilités connues peuvent saper les défenses des applications et permettre diverses attaques et impacts.

  10. Insufficient Logging & Monitoring. Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d'attaquer davantage les systèmes, de maintenir la persistance, de basculer vers plus de systèmes et de falsifier, extraire ou détruire les données. La plupart des études sur les violations montrent que le temps de détection d'une violation est supérieur à 200 jours, généralement détecté par des parties externes plutôt que par des processus ou une surveillance internes.

Ce n'est pas le seul projet d'OWASP et pourtant un des plus reconnu sur la sécurité des applications web.

Précédent
🇬🇧 Bypassing Cloudflare WAF with the origin server IP address | Detectify Blog
Suivant - Cybersécurité - Hack
On dit chiffrer plutôt que crypter
Dernière mise à jour 2 months ago
Edit on GitHub