la sécurité des applications affecte toutes les organisations dans tous les secteurs, mais notre recherche a révélé que différentes failles OWASP Top 10 sont plus répandues dans différents secteurs. Les organisations devraient utiliser cette information pour se concentrer sur les problèmes les plus urgents auxquels est confronté leur secteur particulier. Consultez notre Rapport sur L’État de la sécurité logicielle pour plus de détails.,
un Guide pour tester le Top 10 OWASP
à mesure que les logiciels gagnent en importance et que les attaquants continuent de cibler la couche applicative, les organisations auront besoin d’une nouvelle approche de la sécurité. Un programme de sécurité des applications qui utilise un mélange de technologies et de services pour sécuriser l’ensemble du paysage applicatif, et chaque application tout au long de son cycle de vie, devient une nécessité., Cette combinaison devrait inclure:
- Des Outils et des processus qui permettent aux développeurs de trouver et de corriger les vulnérabilités pendant qu’ils codent
- analyse de composition logicielle
- analyse dynamique
- analyse statique
commencez avec notre guide ultime pour démarrer avec la sécurité des applications.
principales vulnérabilités OWASP
bien que la plate-forme Veracode détecte des centaines de failles de sécurité logicielles, nous nous concentrons sur la recherche des problèmes qui « méritent d » être résolus., »Le Top 10 OWASP est une liste de défauts si répandus et graves qu’aucune application web ne devrait être livrée aux clients sans preuve que le Logiciel ne contient pas ces erreurs.
ce qui suit identifie chacun des 10 principaux risques de sécurité des applications web D’OWASP, et propose des solutions et des meilleures pratiques pour les prévenir ou y remédier.
Injection
Les défauts D’Injection, tels que L’injection SQL, L’injection LDAP et l’injection CRLF, se produisent lorsqu’un attaquant envoie des données non fiables à un interpréteur exécuté en tant que commande sans autorisation appropriée.,
* Les tests de sécurité des applications peuvent facilement détecter les défauts d’injection. Les développeurs doivent utiliser des requêtes paramétrées lors du codage pour éviter les défauts d’injection.
authentification et gestion de Session rompues
l’authentification d’utilisateur et de session mal configurée pourrait permettre aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou de prendre le contrôle des comptes des utilisateurs pour assumer leur identité.
* l’authentification multifacteur, telle que FIDO ou les applications dédiées, réduit le risque de comptes compromis.,
exposition aux données sensibles
Les Applications et API qui ne protègent pas correctement les données sensibles telles que les données financières, les noms d’utilisateur et les mots de passe, ou les informations de santé, pourraient permettre aux attaquants d’accéder à ces informations pour commettre une fraude ou voler des identités.
* Le cryptage des données au repos et en transit peut vous aider à vous conformer aux réglementations en matière de protection des données.
entité externe XML
Les processeurs XML mal configurés évaluent les références d’entités externes dans les documents XML., Les attaquants peuvent utiliser des entités externes pour des attaques, y compris l’exécution de code à distance, et pour divulguer des fichiers internes et des partages de fichiers SMB.
* Les tests statiques de sécurité des applications (SAST) peuvent détecter ce problème en inspectant les dépendances et la configuration.
contrôle D’accès cassé
des restrictions mal configurées ou manquantes sur les utilisateurs authentifiés leur permettent d’accéder à des fonctionnalités ou des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, l’affichage de documents sensibles et la modification des données et des droits d’accès.,
* Les tests D’intrusion sont essentiels pour détecter les contrôles d’accès non fonctionnels; les autres méthodes de test ne détectent que les contrôles d’accès manquants.
mauvaise configuration de la sécurité
ce risque fait référence à une mauvaise mise en œuvre des contrôles destinés à protéger les données de l’application, tels qu’une mauvaise configuration des en-têtes de sécurité, des messages d’erreur contenant des informations sensibles (fuite d’informations) et ne pas patcher ou mettre à niveau les systèmes,
* Les tests de sécurité dynamique des applications (dast) peuvent détecter les erreurs de configuration, telles que les API qui fuient.,
Cross-Site Scripting
Les failles Cross-site scripting (XSS) permettent aux attaquants d’injecter des scripts côté client dans l’application, par exemple pour rediriger les utilisateurs vers des sites Web malveillants.
* La formation des développeurs complète les tests de sécurité pour aider les programmeurs à empêcher les scripts inter-sites avec les meilleures pratiques de codage, telles que l’encodage des données et la validation des entrées.,
désérialisation non sécurisée
Les failles de désérialisation non sécurisées peuvent permettre à un attaquant d’exécuter du code dans l’application à distance, d’altérer ou de supprimer des objets sérialisés (écrits sur disque), de mener des attaques par injection et d’élever des privilèges.
* Les outils de sécurité des applications peuvent détecter les failles de désérialisation, mais des tests d’intrusion sont fréquemment nécessaires pour valider le problème.,
utilisation de composants avec des vulnérabilités connues
Les développeurs ne savent souvent pas quels composants open source et tiers se trouvent dans leurs applications, ce qui rend difficile la mise à jour des composants lorsque de nouvelles vulnérabilités sont découvertes. Les attaquants peuvent exploiter un composant non sécurisé pour prendre le contrôle du serveur ou voler des données sensibles.
* l’analyse de composition logicielle effectuée en même temps que l’analyse statique peut identifier les versions non sécurisées des composants.
enregistrement et surveillance insuffisants
le temps nécessaire pour détecter une violation est souvent mesuré en semaines ou en mois., Une journalisation insuffisante et une intégration inefficace avec les systèmes de réponse aux incidents de sécurité permettent aux attaquants de pivoter vers d’autres systèmes et de maintenir des menaces persistantes.
* pensez comme un attaquant et utilisez des tests de stylo pour savoir si vous avez une surveillance suffisante; examinez vos journaux après les tests de stylo.
Contactez-nous pour plus d’informations ou pour voir une démonstration de notre solution complète.