Série de vidéos de cours sur tableau lumineux OWASP Top 10 2021
Protégez vos applications Web contre les risques nouveaux et critiques
Le Top 10 de l'OWASP est un large consensus sur les risques de sécurité les plus critiques pour les applications Web. La mise à jour 2021 fournit des conseils pour aider à sécuriser les applications et architectures Web modernes contre les exploits, les abus et les erreurs de configuration, ainsi que des recommandations pour atténuer les nouveaux risques impliquant les chaînes d'approvisionnement en logiciels, les pipelines CI/CD et les logiciels open source.
Regardez la série de leçons Lightboard OWASP Top 10 2021 sur F5 DevCentral pour une analyse du nouveau Top 10 OWASP et apprenez :
- Comment l'OWASP crée sa liste des 10 principaux risques de sécurité les plus critiques pour les applications Web.
- Principaux changements pour 2021, notamment la recatégorisation des risques pour aligner les symptômes sur les causes profondes.
- Quand chaque risque peut se manifester, pourquoi cela est important et comment améliorer votre posture de sécurité.
L'Open Web Application Security Project (OWASP) est une fondation à but non lucratif qui œuvre pour améliorer la sécurité des logiciels. L'OWASP gère une variété de projets, notamment le document de sensibilisation aux 10 principaux risques de sécurité des applications Web destiné aux développeurs et aux praticiens de la sécurité.
Aperçu du Top 10 de l'OWASP
John commence par expliquer ce qu'est le Top 10 de l'OWASP. Il met en évidence des thèmes tels que la réorientation des risques autour des symptômes et des causes profondes, les nouvelles catégories de risques et les architectures d’application modernes. Suivez-nous pour une vidéo sur chacun des 10 principaux risques.
Top 10 de l'OWASP 2021 : Contrôle d'accès interrompu
94 % des applications testées présentaient une forme de contrôle d'accès défaillant. Les échecs peuvent entraîner une divulgation, une modification ou une destruction non autorisée des données, ainsi qu’une escalade des privilèges, et conduire à une prise de contrôle de compte (ATO), une violation de données, des amendes et une atteinte à la marque.
Top 10 de l'OWASP 2021 : Échecs cryptographiques
Les défaillances cryptographiques, auparavant appelées « exposition de données sensibles », conduisent à l’exposition de données sensibles et au piratage de sessions utilisateur. Malgré l’adoption généralisée de TLS 1.3, des protocoles anciens et vulnérables sont toujours activés.
Top 10 de l'OWASP 2021 : Injection
L’injection est une large classe de vecteurs d’attaque où une entrée non fiable modifie l’exécution du programme d’application. Cela peut entraîner un vol de données, une perte d’intégrité des données, un déni de service et une compromission totale du système. L’injection n’est plus le risque le plus important, mais elle reste redoutable.
Top 10 de l'OWASP 2021 : Conception non sécurisée
La sécurité doit être inhérente aux applications. Une conception sécurisée peut toujours présenter des défauts d’implémentation conduisant à des vulnérabilités. Une conception non sécurisée ne peut pas être corrigée par une implémentation parfaite.
Top 10 de l'OWASP 2021 : Mauvaise configuration de sécurité
La mauvaise configuration de la sécurité est une source majeure de violations du cloud. Découvrez ce qu’il faut faire et éviter, car le développement d’applications modernes, la réutilisation de logiciels et la prolifération architecturale dans les clouds augmentent ce risque.
Top 10 de l'OWASP 2021 : Composants vulnérables et obsolètes
Les exploits des logiciels Open Source sont à l’origine de nombreux incidents de sécurité parmi les plus graves. La récente vulnérabilité Log4j2 est peut-être le risque le plus grave de cette catégorie à ce jour.
Top 10 de l'OWASP 2021 : Échecs d'identification et d'authentification
Il est essentiel de confirmer l’identité et d’utiliser une authentification forte et une gestion de session pour se protéger contre les abus de logique métier. La plupart des attaques d’authentification sont liées à l’utilisation continue de mots de passe. Les informations d'identification compromises, les botnets et les outils sophistiqués offrent un retour sur investissement intéressant pour les attaques automatisées telles que le bourrage d'informations d'identification.
Top 10 de l'OWASP 2021 : Défaillances en matière d’intégrité des logiciels et des données
Cette nouvelle catégorie de risque se concentre sur l’élaboration d’hypothèses liées aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérifier l’intégrité. L’attaque de la chaîne d’approvisionnement de SolarWinds est l’une des plus dommageables que nous ayons vues.
Top 10 de l'OWASP 2021 : Journalisation de sécurité et échecs de surveillance
Sans une journalisation et une surveillance appropriées des activités des applications, les violations ne peuvent pas être détectées. Ne pas le faire a un impact direct sur la visibilité, l’alerte des incidents et l’analyse médico-légale. Plus un attaquant reste indétecté, plus le système risque d’être compromis.
Top 10 de l'OWASP 2021 : Falsificateur de requêtes côté serveur
Les failles SSRF se produisent lorsqu'une application Web récupère une ressource distante sans valider l'URL fournie par l'utilisateur. Les attaquants peuvent contraindre l’application à envoyer une requête vers une destination inattendue, même si elle est sécurisée par un pare-feu, un VPN ou une autre liste de contrôle d’accès au réseau (ACL).