Rapport OWASP Top 10 2021
Top 10 OWASP est un document de sensibilisation standard pour les développeurs et application Web sécurité. Il représente un large consensus sur les risques de sécurité les plus critiques pour vos applications Web.
Le paysage des menaces en matière d'applications et d'API est en perpétuelle mutation. Les facteurs déterminants de cette évolution sont l'adoption rapide des nouvelles technologies (telles que le cloud, les conteneurs ou les API), l'accélération et l'automatisation des procédés de développement de logiciels, tels que les processus agiles et DevOps, l'explosion des bibliothèques et cadres de développement d'origine tierce, ainsi que les progrès accomplis par les cyber-attaquants. Ces facteurs rendent souvent les applications et les API plus difficiles à analyser et sont susceptibles de modifier de manière significative le paysage des menaces. Pour se maintenir à jour, l'organisme OWASP met périodiquement à jour son rapport Top 10 OWASP.
A compter d'AppScan Enterprise 10.0.7, le rapport Top 10 OWASP 2021 est pris en charge.
Changements dans le Top 10 pour 2021
Trois nouvelles catégories ont été ajoutées, quatre catégories ont vu leur nom et leur champ d'application modifiés, et le Top 10 a été consolidé pour 2021. Des modifications de nom ont été apportées pour se concentrer sur la cause profonde plutôt que sur le symptôme.
2021 | Ce qui a changé à partir de 2017 |
---|---|
A01 Contrôle d'accès rompu ⇧ | Il s'agit de la catégorie présentant le risque le plus grave pour la sécurité des applications Web, alors qu'elle était auparavant classée au 5e rang. |
A02 Erreurs cryptographiques ⇧ | Précédemment connu sous le nom de A3:2017 - Exposition de données sensibles, passe au 3e rang, se concentre sur les défaillances liées à la cryptographie comme cela a été implicitement le cas auparavant. Cette catégorie conduit souvent à une exposition sensible des données ou à une compromission du système. |
A03 Injection ⇩ | Descend du 1er rang. A07:2017 - L'attaque par script intersite (XSS) fait désormais partie de cette catégorie. |
A04 Conception non sécurisée (Nouveau) | Catégorie nouvellement ajoutée qui se concentre sur les risques liés aux failles de conception. |
A05 Erreur de configuration de la sécurité ⇧ | Remonte au 6e rang. A4:2017 - Les entités externes XML (XXE) font désormais partie de cette catégorie. |
A06 Composants vulnérables et obsolètes ⇧ | Précédemment connu sous le nom de A09:2017 - Utilisation de composants présentant des vulnérabilités connues, passe du 9e rang au 8e rang. |
A07 Erreurs d'identification et d'authentification ⇩ | Anciennement connu sous le nom de A02:2017 - Authentification rompue, descend du 2e rang. Cette catégorie inclut désormais les énumérations de faiblesses communes (CWE) qui sont davantage liées aux échecs d'identification. |
A08 Défauts d'intégrité des logiciels et des données (Nouveau) | Catégorie nouvellement ajoutée qui se concentre sur les hypothèses liées aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérifier l'intégrité. L'un des impacts pondérés les plus élevés à partir des données Common Vulnerability et Exposures/Common Vulnerability Scoring System (CVE/CVSS) mappées aux 10 CWE de cette catégorie. A8:2017 - La désérialisation non sécurisée fait désormais partie de cette catégorie plus grande. |
A09 Défaillances de la journalisation et de la surveillance de la sécurité ⇧ | Précédemment appelé A10:2017 - Insuffisance de la journalisation et de la surveillance, passe du 10e au 9e rang. Il est étendu pour inclure davantage de types de défaillances, est difficile à tester et n'est pas bien représenté dans les données CVE/CVSS. Toutefois, les échecs de cette catégorie peuvent avoir un impact direct sur la visibilité, l'alerte sur les incidents et les investigations. |
A10 Server-Side Request Forgery (SSRF) (Nouveau) | Catégorie nouvellement ajoutée en fonction de son importance signalée par les membres de la communauté de sécurité. |
⇧ ⇩ indique un changement de position (A0-A10) par rapport au rapport 2017. |