Sécurité

Projet OWASP : Découvrez ce que c’est et à quoi ça sert

OWASP signifie l’acronyme Open Web Application Security Project . C’est une fondation à but non lucratif avec des milliers de membres qui travaillent en faveur de la sécurité des logiciels en général. Le projet génère toutes sortes de documentation, il est gratuit en permanence et toute personne intéressée peut y accéder sans problème. Bref, vous pouvez partager et réajuster la documentation selon vos préférences et vos besoins. Tant qu’il est basé sur l’objectif du projet.

L’un des projets les plus marquants de la fondation est le Top Ten de l’ OWASP . Il s’agit d’un document de sensibilisation standardisé sur le développement de code sécurisé pour tous les types de logiciels, en plus des applications Web. Ceci est enraciné dans un large consensus concernant les principaux risques et menaces de sécurité. Pour cette raison, il est fortement recommandé de mettre en œuvre les recommandations formulées par OWASP Top Ten pour minimiser les risques et les menaces.

Les risques qui composent le Top Ten de l’OWASP

Ensuite, nous énumérerons chacun des risques pour les applications Web et les logiciels en général. Il est très probable que vous en ayez déjà entendu parler, car certaines d’entre elles sont des cyberattaques bien connues pour leurs effets dévastateurs. Nous les listons en fonction de ce que la documentation originale du projet indique.

  1. Injection. Fondamentalement, il s’agit d’insérer un code malveillant dans un interpréteur faisant partie d’une commande ou d’une requête. Rappelons que les commandes ou requêtes font partie des bases de données. Le code malveillant est capable d’effectuer de nombreuses actions indésirables telles que l’accès non autorisé à des données. Les attaques de type injection SQL ou les protocoles d’accès aux annuaires tels que LDAP sont largement utilisés.
  2. Perte d’authentification . Il arrive parfois que les fonctions d’ authentification et de gestion de session soient implémentées de manière incorrecte. Les erreurs sont une passerelle permettant aux cybercriminels d’effectuer des actions malveillantes telles que la violation de mots de passe, de clés, de jetons de session, etc. Ils peuvent également exploiter d’autres failles qui leur permettent d’assumer temporairement ou définitivement l’identité d’autres utilisateurs, selon les attaques qu’ils vouloir faire.
  3. Exposition de données sensibles. Le but initial des API est de faciliter l’accès et l’intégration des données et même des fonctionnalités des programmes avec d’autres. Cependant, tous ne font pas attention à la protection des données sensibles, surtout s’il s’agit de données bancaires, financières, de santé et autres. L’exposition de ces données est une aide supplémentaire aux cybercriminels pour mener d’autres attaques, telles que l’usurpation d’identité ou la fraude par carte de crédit. D’où l’importance du chiffrement des données stockées, en transit ou dans le meilleur des cas, de bout en bout (End-to-End) .
  4. Entités externes XML. Le but de cette vulnérabilité est que le cybercriminel puisse envoyer un document XML manipulé de telle manière que, via un «parser XML» (un pont), il commence à exposer des informations confidentielles des applications victimes. Ces analyseurs sont disponibles dans les applications qui les prennent en charge. En fin de compte, ils peuvent également entraîner une consommation excessive de ressources, l’exécution de commandes malveillantes et bien plus encore. Cependant, qu’est-ce qu’un document XML ? Il s’agit d’un document de balisage qui sert à représenter des informations structurées sur le Web. Par conséquent, les applications et les appareils sont capables de stocker ces informations, en plus de les manipuler, de les visualiser et de les imprimer.
  5. Perte du contrôle d’accès. Les cybercriminels peuvent exploiter les failles et les vulnérabilités des politiques de restriction des utilisateurs. Gardez à l’esprit que ces restrictions déterminent ce qu’un utilisateur peut faire en fonction des rôles et des autorisations dont il dispose. En exploitant des bogues et des vulnérabilités, des autorisations et des fonctionnalités non autorisées sont obtenues. Tels que l’affichage de fichiers sensibles, la modification des données d’autres utilisateurs, la modification des autorisations et des rôles d’autres utilisateurs, et bien plus encore.
  6. Erreurs de configuration de sécurité. Il est le plus souvent causé par des paramètres par défaut non sécurisés, des paramètres ad hoc incomplets, un stockage cloud ouvert, des en-têtes HTTP mal configurés et des messages d’erreur contenant des informations sensibles. Bien que les systèmes d’exploitation, les frameworks, les bibliothèques et les applications soient configurés avec la sécurité, ils doivent également être mis à jour régulièrement avec des correctifs de sécurité .
  7. Script inter-sites (XSS). Grâce au manque de validation dans les applications en général, cela peut arriver et avoir des conséquences dévastatrices. XSS permet aux cybercriminels d’exécuter des scripts dans des langages tels que JavaScript dans les sessions utilisateur pour modifier la sécurité des connexions au site ou rediriger les utilisateurs vers des sites Web malveillants même s’ils entrent une URL valide ou légitime.
  8. Désérialisation non sécurisée. La désérialisation est la reconstruction d’un objet à partir des informations qui en sont extraites. Il existe des règles d’une certaine convention de programmation qui disent que les informations provenant d’objets sérialisables seront récupérées. Cela présente comme un grand risque, l’ exécution à distance de codes malveillants de toutes sortes, en plus de mener des attaques, des réplications d’attaques précédentes, des injections et des élévations de privilèges.
  9. Utilisation de composants présentant des vulnérabilités connues. Il existe de nombreuses bibliothèques, frameworks et autres modules logiciels qui ont les mêmes privilèges que les applications elles-mêmes. Si des composants vulnérables sont exploités, il existe un grand risque de perte de données ou de piratage par des cybercriminels. C’est pourquoi il est très important de connaître les mesures de sécurité des API que nous pouvons mettre en œuvre, par exemple, pour éviter d’ouvrir la porte à un grand nombre de failles et d’attaques.
  10. Collecte et surveillance insuffisantes des journaux. Cette paire d’ actions préventives , si elle n’est pas présente dans la mise en œuvre de nos applications, permet non seulement aux cybercriminels d’exécuter les attaques, mais aussi, ils peuvent atteindre un haut niveau de persistance. Il est possible qu’ils arrivent au point de détruire les données, ce qui peut générer de grandes conséquences dans l’environnement où nous nous trouvons.

L’un des grands avantages d’avoir un tel projet est la standardisation des principaux risques. Cela facilite leur identification et leur résolution ultérieure une fois que la mesure d’atténuation appropriée est trouvée. Il est également possible de faire partie de l’OWASP, qui compte plusieurs branches à travers le monde qui cherchent à rencontrer et à diffuser ce que la fondation promeut à travers une grande variété d’activités. Nous vous encourageons à consulter le chapitre qui correspond à votre pays !

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba