De plus en plus à des cyberattaques qui visent nos administrations et entreprises.
Cependant, une question se pose : que font ces dernières pour identifier les failles de leurs systèmes pour ensuite se protéger contre d'éventuelles attaques ?
C'est dans ce cadre que ce premier article sur la sécurité des applications web a été rédigé afin d'expliquer brièvement les 10 failles de sécurité qui affectent le plus nos applications.
Attention : Ne vous arrêtez pas à 10! Il y a des centaines de problèmes qui pourraient influer sur la sécurité globale d’une application web comme indiqué dans le Guide du développeur de l’OWASP et la série des OWASP Cheat Sheets. Ce sont des lectures essentielles pour quiconque développe des applications web. Des conseils sur la manière de trouver des vulnérabilités dans les applications web sont fournis dans le Guide de Test et le Guide d’audit de Code.
Le Top 10
Faille 1 - Injection
Faille 1 - Injection
Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées.
Faille 2 - Violation de Gestion d'Authentification et de Session
Les fonctions applicatives relatives à l'authentification et la gestion de session ne sont souvent pas mises en oeuvre correctement, permettant aux attaquants de compromettre les mots de passe, clés, jetons de session, ou d'exploiter d'autres failles d'implémentation pour s'approprier les identités d'autres utilisateurs.
Faille 3 - Cross-Site Scripting (XSS)
Les failles XSS se produisent chaque fois qu'une application accepte des données non fiables et les envoie à un browser web sans validation appropriée. XSS permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants.
Faille 4 - Références directes non sécurisées à un objet
Une référence directe à un objet se produit quand un développeur expose une référence à un objet d'exécution interne, tel un fichier, un dossier, un enregistrement de base de données ou une clé de base de données. Sans un contrôle d'accès ou autre protection, les attaquants peuvent manipuler ces références pour accéder à des données non autorisées.
Faille 5 - Mauvaise configuration Sécurité
Faille 5 - Mauvaise configuration Sécurité
Une bonne sécurité nécessite de disposer d'une configuration sécurisée définie et déployée pour l'application, contextes, serveur d'application, serveur web, serveur de base de données et la plate-forme. Tous ces paramètres doivent être définis, mis en oeuvre et maintenus, car beaucoup ne sont pas livrés sécurisés par défaut. Cela implique de tenir tous les logiciels à jour.
Faille 6 - Exposition de données sensibles
Beaucoup d'applications web ne protègent pas correctement les données sensibles telles que les cartes de crédit, identifiants d'impôt et informations d'authentification. Les pirates peuvent voler ou modifier ces données faiblement protégées pour effectuer un vol d'identité, de la fraude à la carte de crédit ou autres crimes. Les données sensibles méritent une protection supplémentaire tel un chiffrement statique ou en transit, ainsi que des précautions particulières lors de l'échange avec le navigateur.
Faille 7 - Manque de contrôle d’accès au niveau fonctionnel
Pratiquement toutes les applications web vérifient les droits d'accès au niveau fonctionnel avant de rendre cette fonctionnalité visible dans l'interface utilisateur. Cependant, les applications doivent effectuer les mêmes vérifications de contrôle d'accès sur le serveur lors de l'accès à chaque fonction. Si les demandes ne sont pas vérifiées, les attaquants seront en mesure de forger des demandes afin d'accéder à une fonctionnalité non autorisée.
Faille 8 - Falsification de requête intersite (CSRF)
Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifiée à envoyer une requête HTTP forgée, comprenant le cookie de session de la victime ainsi que toute autre information automatiquement inclue, à une application web vulnérable. Ceci permet à l'attaquant de forcer le navigateur de la victime à générer des requêtes dont l'application vulnérable pense qu'elles émanent légitimement de la victime.
Faille 9 - Utilisation de composants avec des vulnérabilités connues
Faille 9 - Utilisation de composants avec des vulnérabilités connues
Les composants vulnérables, tels que bibliothèques, contextes et autres modules logiciels fonctionnent presque toujours avec des privilèges maximum. Ainsi, si exploités, ils peuvent causer des pertes de données sérieuses ou une prise de contrôle du serveur. Les applications utilisant ces composants vulnérables peuvent compromettre leurs défenses et permettre une série d'attaques et d'impacts potentiels.
Faille 10 - Redirections et renvois non validés
Les applications web réorientent et redirigent fréquemment les utilisateurs vers d'autres pages et sites internet, et utilisent des données non fiables pour déterminer les pages de destination. Sans validation appropriée, les attaquants peuvent réorienter les victimes vers des sites de phishing ou de malware, ou utiliser les renvois pour accéder à des pages non autorisées.
Remarque : Il revient aux responsables sécurité et aux développeurs de veiller à ce que la sécurité soit prise en compte dans les projets de développement : depuis le début, et jusqu'à la fin.
Référence : Rapport OWASP 2013
AKM
Aucun commentaire:
Enregistrer un commentaire
Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.