Rapport OWASP Top 10 2013
Ce rapport répertorie les problèmes OWASP Top 10 2013 trouvés sur votre site.
Parmi les vulnérabilités OWASP Top Ten 2010 figurent :
- Injection
- Authentification et gestion de session rompues
- Scriptage intersite (XSS)
- Référence d'objet directe non sécurisée
- Configuration erronée de la sécurité
- Exposition des données sensibles
- Contrôle d'accès au niveau de la fonction manquant
- Falsification de requêtes intersite (CSRF)
- Utilisation de composants présentant des vulnérabilités connues
- Redirections et transferts non validés
Pourquoi est-ce important
OWASP Top Ten 2013 est une mise à jour significative de la version 2010. Il présente une liste plus précise des 10 principaux risques de sécurité des applications Web et permet de les évaluer. Pour chaque élément constitutif des 10 risques majeurs, sont indiqués les facteurs de probabilité de survenue et de conséquence utilisés pour classer la gravité standard du risque. Les chefs de projet doivent prévoir les délais et le budget pour les activités liées à la sécurité des applications, y compris la formation des développeurs, l'élaboration d'une stratégie de sécurité des applications, la conception et le développement de mécanismes de sécurité, les tests de pénétration et une révision du code de sécurité comme faisant partie de l'effort global de traitement des risques.A partir d'ASE version 9.0.3.9, le rapport OWASP 2013 est remplacé par le rapport OWASP 2017.
Parmi les vulnérabilités OWASP Top Ten 2017 figurent :
- Injection
- Authentification rompue
- Exposition des données sensibles
- Entités XML externes (XXE)
- Contrôle d'accès rompu
- Configuration erronée de la sécurité
- Scriptage intersite (XSS)
- Désérialisation non sécurisée
- Utilisation de composants présentant des vulnérabilités connues
- Journalisation et surveillance insuffisantes
Qu'est-ce qui a changé entre 2013 et 2017 ?
Le paysage des menaces en matière d'applications et d'API est en perpétuelle mutation. Les facteurs déterminants de cette évolution sont l'adoption rapide des nouvelles technologies (telles que le cloud, les conteneurs ou les API), l'accélération et l'automatisation des procédés de développement de logiciels, tels que les processus agiles et DevOps, l'explosion des bibliothèques et cadres de développement d'origine tierce, ainsi que les progrès accomplis par les cyber-attaquants. Ces facteurs rendent souvent les applications et les API plus difficiles à analyser et sont susceptibles de modifier de manière significative le paysage des menaces. Pour se maintenir à jour, l'organisme OWASP mes périodiquement à jour sa liste OWASP Top 10. Dans la version de 2017, les modifications suivantes ont été apportées :- Fusion des dispositions 2013-A4 : "Référence d'objet directe non sécurisée" et 2013-A7 : "Contrôle d'accès au niveau de la fonction manquant" au profit de la disposition 2017-A5 : "Contrôle d'accès rompu".
- Suppression de la disposition 2013-A8 : "Falsification de requêtes intersite (CSRF)" dans la mesure où de nombreux cadres de développement incluent des défenses anti-CSRF et que cette menace n'a été décelée que dans 5 % des applications.
- Suppression de la disposition 2013-A10 : "Redirections et transferts non validés ", qui bien que détectée dans environ 8 % des applications, est globalement surclassée par la méthode XXE.
- Ajout de la disposition 2017-A4 : "Entités XML externes (XXE)".
- Ajout de la disposition 2017-A8 : "Désérialisation non sécurisée".
- Ajout de la disposition 2017-A10 : "Journalisation et surveillance insuffisantes".Remarque : Tous les modèles de groupe de rapports créés avant la version 9.0.3.9 feront l'objet du rapport OWASP 2013. Si nécessaire, cette disposition peut être supprimée manuellement et l'utilisateur peut ajouter le rapport OWASP 2017.