Formation OWASP Top 10

Introduction

• Présentation de OWASP, de son objectif et de son importance pour la sécurité du web
• Explication de la liste des 10 meilleures pratiques de OWASP.
  • A01:2021-Broken Access Control passe de la cinquième position ; 94% des applications ont été testées pour une forme ou une autre de contrôle d'accès non respecté. Les 34 énumérations de faiblesses communes (CWE) associées au contrôle Access défaillant sont les plus fréquentes dans les applications.
  • La catégorieA02:2021 - Défaillances cryptographiques gagne une place et devient la catégorie n° 2, précédemment connue sous le nom d'exposition aux données sensibles, qui était un symptôme général plutôt qu'une cause fondamentale. L'accent est désormais mis sur les défaillances liées à la cryptographie, qui conduisent souvent à l'exposition de données sensibles ou à la compromission d'un système.
  • A03:2021-Injection recule à la troisième place. 94 % des applications ont été testées pour une forme ou une autre d'injection, et les 33 CWE répertoriés dans cette catégorie sont les deuxièmes plus fréquents dans les applications. Les scripts intersites font désormais partie de cette catégorie dans cette édition.
  • A04:2021-Conception non sécurisée est une nouvelle catégorie pour 2021, qui met l'accent sur les risques liés aux défauts de conception. Si nous voulons vraiment "passer à gauche" en tant qu'industrie, il faut utiliser davantage la modélisation des menaces, les modèles et principes de conception sécurisés et les architectures de référence.
  • A05:2021 - La mauvaise configuration de la sécurité passe de la 6e place dans l'édition précédente ; 90 % des applications ont été testées pour une forme ou une autre de mauvaise configuration. Il n'est pas surprenant de voir cette catégorie progresser, étant donné que les logiciels hautement configurables sont de plus en plus nombreux. L'ancienne catégorie des XML entités externes (XXE) fait désormais partie de cette catégorie.
  • A06:2021-Composants vulnérables et obsolètes était précédemment intitulée Utilisation de composants avec des vulnérabilités connues et est #2 dans l'enquête communautaire Top 10, mais avait également suffisamment de données pour faire partie du Top 10 via l'analyse des données. Cette catégorie passe de la 9e place en 2017 et constitue un problème connu que nous avons du mal à tester et à évaluer les risques. C'est la seule catégorie à ne pas avoir de Common Vulnerability and Exposures (CVE) mappé aux CWE inclus, donc un exploit par défaut et des pondérations d'impact de 5,0 sont pris en compte dans leurs scores.
  • A07:2021-Identification and Authentication Failures était précédemment Broken Authentication et a glissé de la deuxième position, et inclut maintenant des CWE qui sont plus liés à des échecs d'identification. Cette catégorie fait toujours partie intégrante du Top 10, mais la disponibilité accrue de cadres normalisés semble y contribuer.
  • A08:2021 - Défauts d'intégrité des logiciels et des données est une nouvelle catégorie pour 2021, qui se concentre sur les hypothèses liées aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérification de l'intégrité. L'un des impacts pondérés les plus élevés des données CVE/CVSS (Common Vulnerability and Exposures/Common Vulnerability Scoring System) correspond aux 10 CWE de cette catégorie. La désérialisation non sécurisée de 2017 fait désormais partie de cette catégorie plus large.
  • A09:2021 - Défauts de journalisation et de surveillance de la sécurité était auparavant Journalisation et surveillance insuffisantes et a été ajoutée à partir de l'enquête de l'industrie (#3), passant de #10 précédemment. Cette catégorie est élargie pour inclure plus de types de défaillances, est difficile à tester et n'est pas bien représentée dans les données CVE/CVSS. Cependant, les défaillances de cette catégorie peuvent avoir un impact direct sur la visibilité, l'alerte en cas d'incident et la criminalistique.
  • A10:2021-Server-Side Request Forgery est ajouté à partir de l'enquête communautaire Top 10 (#1). Les données montrent un taux d'incidence relativement faible avec une couverture de test supérieure à la moyenne, ainsi que des notes supérieures à la moyenne pour le potentiel d'exploitation et d'impact. Cette catégorie représente le scénario dans lequel les membres de la communauté de la sécurité nous disent que c'est important, même si cela n'est pas illustré dans les données pour le moment.

Contrôle Access cassé

• Exemples pratiques de contrôles d'accès défaillants
• Contrôles d'accès sécurisés et meilleures pratiques

Défaillances cryptographiques

• Analyse détaillée des défaillances cryptographiques telles que la faiblesse des algorithmes de chiffrement ou une mauvaise gestion des clés.
• Importance des mécanismes cryptographiques forts, des protocoles sécurisés (SSL/TLS) et exemples de cryptographie moderne dans la sécurité du web

Attaques par injection

• Analyse détaillée de l'injection SQL, NoSQL, OS et LDAP.
• Techniques d'atténuation utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées

Conception non sécurisée

• Exploration des défauts de conception qui peuvent conduire à des vulnérabilités, comme une mauvaise validation des entrées.
• Stratégies pour une architecture sécurisée et principes de conception sécurisée

Mauvaise configuration de la sécurité

• Exemples concrets de mauvaises configurations
• Mesures visant à prévenir les erreurs de configuration, y compris la gestion de la configuration et les outils d'automatisation

Composants vulnérables et obsolètes

• Identification des risques liés à l'utilisation de bibliothèques et de frameworks vulnérables
• Meilleures pratiques pour la gestion des dépendances et les mises à jour

Défauts d'identification et d'authentification

• Problèmes d'authentification courants
• Stratégies d'authentification sécurisées, telles que l'authentification multifactorielle et la gestion correcte des sessions

Défauts d'intégrité des logiciels et des données

• Se concentrer sur des problèmes tels que les mises à jour de logiciels non fiables et la falsification des données
• Mécanismes de mise à jour sûrs et contrôles de l'intégrité des données

Défaillances en matière de journalisation et de surveillance de la sécurité

• Importance de l'enregistrement des informations relatives à la sécurité et de la surveillance des activités suspectes
• Outils et pratiques pour une bonne journalisation et une surveillance en temps réel afin de détecter rapidement les failles.

Falsification des requêtes côté serveur (SSRF)

• Explication de la manière dont les attaquants exploitent les vulnérabilités du SSRF pour accéder aux systèmes internes
• Tactiques d'atténuation, y compris la validation des entrées et les configurations de pare-feu.

Meilleures pratiques et codage sécurisé

• Discussion approfondie sur les meilleures pratiques en matière de codage sécurisé
• Outils de détection des vulnérabilités

Résumé et prochaines étapes