L'Open Web Application Security Project (OWASP) a publié son top 10 de la plupart des risques de sécurité sur les applications Web. Cette liste n'avait pas été mise à jour depuis 2010 et l'organisation note que les menaces de type Cross-site Scripting (XSS) et Cross-site Request Forgery (CSRF or XSRF) sont devenues moins importantes mais que les problèmes d'authentification cassée et les procédures de gestion de session ont gagnés la deuxième place. D'autre part, les injections ont conservés leur première place.
Voici donc le top 10 (avec entre crochets la position en 2010) :
- 1. Injection [1]
- 2. Broken Authentication and Session Management [3]
- 3. Cross-Site Scripting (XSS) [2]
- 4. Insecure Direct Object References [4]
- 5. Security Misconfiguration [6]
- 6. Sensitive Data Exposure [7/9]
- 7. Missing Function Level Access Control [8]
- 8. Cross-Site Request Forgery (CSRF) [5]
- 9. Using Known Vulnerable Components [-]
- 10. Unvalidated Redirects and Forwards [10]
Ce type de rapport a été publié pour la première fois il y a maintenant dix ans et est une ressource appréciée parmi les développeurs web et les experts en sécurité. Le rapport est publié tous les trois ans et récemment celui-ci met en avant les risques généraux en matière de sécurité plutôt que des vulnérabilités potentielles. Le plus récent rapport a été rédigé sur la base de plus de 500.000 vulnérabilités dans plusieurs milliers de demandes de centaines d'entreprises.
OWASP a fusionné les entrées pour le stockage cryptographique sécurisé et les faiblesses au niveau de la protection de la couche de transport dans une nouvelle catégorie appelée "Sensitive Data Exposure" qui traite des problèmes de sécurité résultant de fuites de données. De même, en 2010 pour le cas "Failure to restrict URL access", celui-ci a été mis dans le cas plus général appelé "Missing Function Level Access Control", car il y a de nombreuses manières, et pas seulement via des URL d'accéder à des fonctionnalités d'une application web moderne.
Une toute nouvelle catégorie a été introduite pour les administrateurs qui utilisent des composants vulnérables connus tels que les librairies, les frameworks et les modules. Dans le rapport d'il y a trois ans, cela a été inclus dans la catégorie "Security Misconfiguration", mais OWASP dit que ce genre de problème est devenu suffisamment important pour justifier son inscription sur la liste.
MISES A JOUR DE L'ARTICLE |
