The Open Web Application Security Project (OWASP) est une fondation à but non lucratif dédiée à l’amélioration de la sécurité des logiciels. L’OWASP fonctionne selon un modèle de « communauté ouverte », où tout le monde peut participer et contribuer à des projets, des événements, des discussions en ligne, etc. Un principe directeur de l’OWASP est que tous les documents et informations sont gratuits et facilement accessibles sur leur site Web, pour tout le monde. L’OWASP offre tout, des outils, des vidéos, des forums, des projets aux événements. En bref, OWASP est un référentiel de tout ce qui concerne la sécurité des applications Web, soutenu par les connaissances et l’expérience approfondies de ses contributeurs de la communauté ouverte.

Qu’est-ce que le Top 10 de l’OWASP ?

OWASP Top 10 est un document en ligne sur le site Web de l’OWASP qui fournit un classement et des conseils de correction pour les 10 risques de sécurité des applications Web les plus critiques. Le rapport est basé sur un consensus parmi les experts en sécurité du monde entier. Les risques sont classés et basés sur la fréquence des défauts de sécurité découverts, la gravité des vulnérabilités et l’ampleur de leurs impacts potentiels. L’objectif du rapport est d’offrir aux développeurs et aux professionnels de la sécurité des applications Web un aperçu des risques de sécurité les plus répandus afin qu’ils puissent intégrer les conclusions et les recommandations du rapport dans leurs pratiques de sécurité, minimisant ainsi la présence de ces risques connus dans leurs applications.

Comment fonctionne le Top 10 OWASP et pourquoi est-ce important ?

L’OWASP maintient la liste des 10 meilleurs et le fait depuis 2003. Tous les 2-3 ans, la liste est mise à jour en fonction des progrès et des changements sur le marché AppSec. L’importance de l’OWASP réside dans les informations exploitables qu’il fournit ; il sert de liste de contrôle clé et de norme interne de développement d’applications Web pour de nombreuses organisations parmi les plus importantes au monde.

Les auditeurs considèrent souvent l’incapacité d’une organisation à répondre au Top 10 de l’OWASP comme une indication qu’elle peut ne pas respecter les normes de conformité. L’intégration du Top 10 dans son cycle de vie de développement logiciel démontre un engagement global envers les meilleures pratiques de l’industrie pour un développement sécurisé.

Quelles sont les trois 1ères catégories du Top 10 OWASP 2021 ?

1. Contrôle d’accès cassé : Le contrôle d’accès est interrompu lorsqu’un attaquant est en mesure d’accéder aux comptes d’utilisateurs. L’attaquant est capable d’opérer en tant qu’utilisateur ou en tant qu’administrateur dans le système.

• Exemple :  Une application permet de changer une clé primaire. Lorsque la clé est remplacée par l’enregistrement d’un autre utilisateur, le compte de cet utilisateur peut être affiché ou modifié.

2. Exposition de données sensibles : L’exposition aux données sensibles se produit lorsque des données importantes stockées ou transmises (telles que les numéros de sécurité sociale) sont compromises.

• Exemple :  Les institutions financières qui ne protègent pas adéquatement leurs données sensibles peuvent être des cibles faciles pour la fraude par carte de crédit et le vol d’identité.

3. Injection :Une injection de code se produit lorsque des données invalides sont envoyées par un attaquant dans une application Web. L’intention de l’attaquant est de faire en sorte que l’application fasse quelque chose pour laquelle elle n’a pas été conçue.

• Exemple :  L’injection SQL est l’une des failles d’injection les plus courantes rencontrées dans les applications. Les failles d’injection SQL peuvent être causées par l’utilisation de données non fiables par une application lors de la construction d’un appel SQL vulnérable.