OWASP Top 10 - 2021

Je ne connaissais pas le projet OWASP avant de commencer à travailler chez Ariadnex où il y avait des projets pour protéger les serveurs Web. J'ai lu, testé et protégé contre de nombreuses vulnérabilités d'applications Web. Aujourd'hui, je continue à y travailler où je déploie, configure et bloque les attaques malveillantes. Principalement, je déploie et configure les appliances Fortinet et F5 pour protéger les services des clients. C'est la principale raison pour laquelle j'aime lire, tester et écrire sur OWASP Top 10 - 2017, OWASP Mobile Top 10 Vulnerabilities et OWASP Mobile App Security (MAS).

Le nouveau Top 10 OWASP a été publié il y a deux ans où l'on peut trouver de nouvelles vulnérabilités, et d'autres, ont été fusionnées. Par exemple, A3 - Injection glisse à la troisième position concernant la version 2017. Ces attaques sont l'une des attaques les plus dangereuses où un attaquant envoie simplement une donnée malveillante pour que l'application la traite et fasse quelque chose qu'elle n'est pas censée faire. Les vulnérabilités d'injection sont répandues, en particulier dans le code légal qui ne valide ni ne nettoie les entrées fournies par l'utilisateur. De plus, le Cross-site Scripting (XSS) fait désormais partie de cette catégorie dans la nouvelle édition 2021.
 
A3 - Scénario d'injection

D'autre part, A4 - Conception non sécurisée est une nouvelle catégorie pour 2021 qui se concentre sur les risques associés aux défauts de conception et d'architecture. Par conséquent, il se concentre sur la nécessité d'une modélisation des menaces, de modèles de conception sécurisés et de principes. Les défauts d'une conception non sécurisée ne peuvent pas être corrigés par une implémentation. OWASP différencie la conception non sécurisée de la mise en œuvre et des contrôles de sécurité.
 
A4 - Scénario d'attaque de conception non sécurisée

Les vulnérabilités XXE et les erreurs de configuration de la sécurité ont été fusionnées dans A5 – Mauvaise configuration de sécurité gagne un place pour 2021. Ces vulnérabilités sont des faiblesses de configuration qui peuvent exister dans les composants et sous-systèmes logiciels ou dans l'administration des utilisateurs. Par exemple, le logiciel de serveur Web peut être livré avec des comptes d'utilisateur par défaut qu'un attaquant peut utiliser pour accéder au système, ou le logiciel peut contenir des exemples de fichiers, tels que des fichiers de configuration et des scripts qu'un attaquant peut exploiter. En outre, le logiciel peut avoir activé des services inutiles, tels que la fonctionnalité d'administration à distance.
 
A5 - Scénario d'attaque par mauvaise configuration de la sécurité

A8 – Manque d’intégrité des données et du logiciel sont également une nouvelle catégorie pour 2021 qui est liée au code et à l'infrastructure qui ne protège pas contre les violations d'intégrité. Cela peut se produire lorsque vous utilisez des logiciels provenant de sources et de référentiels non fiables ou même des logiciels qui ont été falsifiés à la source, en transit ou même dans le cache du terminal.
 
A8 - Scénario d'attaque par manque d'intégrité de données et du logiciel

Une autre nouvelle catégorie est A10 – Falsification de requête côté serveur (SSRF) qui se produit chaque fois qu'une application Web récupère une ressource distante sans valider l'URL fournie par l'utilisateur, car l'application Web vulnérable aura souvent des privilèges pour lire, écrire ou importer des données à l'aide de une URL. Par conséquent, pour exécuter une attaque SSRF, l'attaquant abuse de la fonctionnalité du serveur pour lire ou mettre à jour les ressources internes.
 
A10 - Falsification de requête côté serveur - SSRF

Ce ne sont que quelques commentaires sur le nouveau Top 10 OWASP – 2021 que j'aime beaucoup tester et protéger les applications web avec F5 AWAF et OWASP Mutillidae.

Á bientôt !

Commentaires