OWASP Top10: Les injections SQL et les XSS en tête des menaces web

OWASP a récemment proposé une nouvelle version de son Top 10 des menaces web. Les injections et les cross-site scripting restent en tête du classement depuis de nombreuses années. L’OWASP a également introduit de nouvelles menaces pour mettre en évidence le manque de protection des APIs.

source: http://securityaffairs.co/wordpress/57938/hacking/2017-owasp-top-10.html

 


Qui est l’OWASP ?

L’Open Web Application Security Project (OWASP) est une organisation à but non lucratif fondée en 2001. L’OWASP est une fondation indépendante regroupant des professionels de la sécurité applicatives qui visent un but commun, celui de rendre le monde web plus sécurisé.

Qu’est ce que le Top 10 OWASP ?

L’OWASP publie des articles, des outils et des livres sur la sécurité des applications. L’un de ces articles est le Top 10 OWASP. Ce classement liste, par niveau de risque, les 10 principaux risques qui menacent la sécurité des applications web. Ce document sensibilise les responsables sécurité sur les risques existants sur ces applications. Il est également utilisé comme référence par certaines normes comme PCI DSS.

Quelles leçons tirer de ce classement ?

Bien que les applications evoluent constamment, les entreprises sont toujours exposées aux mêmes menaces web. Les attaques par injection et les cross-site scripting ont un cout très élevé pour les entreprises et la nécessité de protéger ses actifs est réelle.

En établissant une stratégie de protection des applications web, les entreprises réduisent les risques liés au Top 10 OWASP. Plusieurs solutions technologiques comme les Firewalls applicatif, les firewalls de base de données, les solutions de revue de code automatisés et les scanners de vulnérabilités aident les entreprises à appliquer les bonnes pratiques de sécurité à différentes étapes du cycle de développement de l’application.

Même si les solutions technologiques sont nécessaires, le développement sécurisé des applications est la base que chaque entreprise se doit de mettre en place et maintenir durant tout le cycle de développement d’une application.

La sécurité des APIs pointée du doigt

Les APIs web sont aujourd’hui très largement utilisées que ce soit par les applications mobiles ou web et le changement de paradigme avec les différents niveaux d’adoption du Cloud. L’utilisation des APIs présente de nouveaux challenges pour les entreprises et notamment les APIs REST.

La gestion de l’authentification et des autorisations, le rate limiting et la gestion des données au format JSON et XML sont des exemples de challenges qui diffèrent par rapport aux applications web traditionnelles. En effet, sécuriser une API est différent de sécuriser une application web et les processus et technologies à mettre en place peuvent différer quelque peu.

Conclusion

La qualité des applications web et des APIs est étroitement liée à la sécurité de ces dernières. Même si ce classement ne contient que 10 éléments, il y a bien plus de menaces contre lesquelles nous devons lutter pour assurer la sécurité des applications web. Chaque entreprise doit prendre conscicence des risques encourus non seulement pour elle mais également pour ses clients.

De plus, nos observations montrent que les APIs mises à disposition ou développées par les entreprises sont très différentes les unes des autres sur plusieurs plan comme le choix de la méthode d’authentification Oauth 2.0 ou OpenID Connect 1.0 et le format des données échangées. La définition des APIs REST est un bel exemple de cette diversité puique l’on peut trouver certaines de ces APIs qui utilisent le format JSON et d’autres le format XML.