QU’est-ce que OWASP?

L’Open Web Application Security Project (OWASP) est une organisation à but non lucratif fondée en 2001, dans le but d’aider les propriétaires de sites web et les experts en sécurité à protéger les applications web contre les cyberattaques. OWASP compte 32 000 bénévoles dans le monde qui effectuent des évaluations de sécurité et des recherches.,

parmi les principales publications de L’OWASP figurent le Top 10 de L’OWASP, discuté plus en détail ci-dessous; le modèle de maturité OWASP Software Assurance (SAMM), le guide de développement OWASP, le guide de test OWASP et le guide de révision du Code OWASP.

OWASP Top 10

OWASP Top 10 est un document largement accepté qui donne la priorité aux risques de sécurité les plus importants affectant les applications web., Bien qu’il existe beaucoup plus de dix risques de sécurité, L’idée derrière le Top 10 OWASP est de sensibiliser les professionnels de la sécurité au moins aux risques de sécurité les plus critiques et d’apprendre à se défendre contre eux.

OWASP évalue périodiquement les types importants de cyberattaques selon quatre critères: facilité d’exploitabilité, prévalence, détectabilité et impact commercial, et sélectionne les 10 principales attaques. Le Top 10 de L’OWASP a été publié pour la première fois en 2003 et a depuis été mis à jour en 2004, 2007, 2010, 2013 et 2017.,

comprendre et prévenir les attaques OWASP courantes

Vous trouverez ci-dessous des informations fournies par la fondation OWASP sur cinq attaques d’applications web importantes qui se classent généralement dans la moitié supérieure du Top 10 OWASP, comment elles se manifestent et comment vous pouvez protéger votre organisation contre elles. Les exemples de Code sont tirés des directives OWASP Top 10.

Injection

Une vulnérabilité d’injection dans une application web permet aux attaquants d’envoyer des données hostiles à un interpréteur, ce qui entraîne la compilation et l’exécution de ces données sur le serveur. Une forme courante d’injection est L’injection SQL.,3844d3c3″>

exploitabilité: élevée prévalence: moyenne détectabilité: élevée Impact: élevée

exemples d’attaques par injection

une application utilise des données non fiables lors de la construction D’un appel SQL vulnérable:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

une application fait confiance à un framework sans désinfecter ses entrées, dans ce cas hibernate query language (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

l’attaquant modifie le paramètre ‘id’ dans son navigateur pour envoyer du code., Par exemple:

http://example.com/app/accountView?id=' or '1'='1

les requêtes renvoient tous les enregistrements de la table des comptes et peuvent être utilisées pour effectuer d’autres actions malveillantes sur le serveur.

prévention des attaques par Injection

  • utiliser une API sécurisée qui évite entièrement l’utilisation de l’interpréteur
  • utiliser la validation d’entrée positive ou « liste blanche” côté serveur
  • échapper les caractères spéciaux
  • utiliser LIMIT et d’autres contrôles SQL dans les requêtes pour empêcher la divulgation massive,une application web avec une authentification cassée ou faible peut être facilement détectée par les attaquants et est vulnérable aux attaques par force brute/dictionnaire et aux attaques de gestion de session
    exploitabilité: élevée prévalence: moyenne
    détectabilité: moyen impact: élevé

    exemples d’attaques d’authentification cassées

    • bourrage d’informations d’identification-les attaquants utilisent des listes de mots de passe connus et les essaient séquentiellement pour y accéder., Sans protection automatisée contre les menaces ou les informations d’identification, l’application est utilisée par les attaquants comme mécanisme de validation pour tout mot de passe qu’ils essaient.
    • attaques basées sur des mots de passe━les applications web ne reposant que sur des mots de passe ont des mécanismes d’authentification intrinsèquement faibles, même si les mots de passe ont des exigences de complexité et sont pivotés. Les organisations doivent passer à l’authentification multifacteur.,

    atténuation de L’authentification rompue

    • mettre en œuvre l’authentification multifacteur
    • ne pas déployer de systèmes avec des informations d’identification par défaut
    • Vérifiez la liste des 10 000 meilleurs mots de passe les moins bons
    • suivez les directives de la section 5.1 de la NIST 800-63 B.,1 pour les Secrets mémorisés
    • durcissez tous les processus liés à l’authentification tels que l’enregistrement et la récupération des informations d’identification
    • limitez ou retardez les tentatives de connexion infructueuses
    • utilisez un gestionnaire de session sécurisé, intégré, côté serveur

    exposition aux données sensibles

    Les données sensibles sont généralement Les attaquants peuvent y accéder en volant des clés cryptographiques, en menant des attaques « man in the middle” (MITM) ou en volant des données en clair qui peuvent parfois être stockées sur des serveurs ou des navigateurs utilisateur.,

    exploitabilité: moyenne prévalence: élevée
    détectabilité: moyenne Impact: élevée

    exemples d’exposition de données sensibles

    • pas de TLS if si un site Web n’utilise pas SSL/TLS pour toutes les pages, un attaquant peut surveiller le trafic, rétrograder les connexions de https vers HTTP et voler le cookie de session.
    • hachages non salés━la base de données de mots de passe d’une application web peut utiliser des hachages non salés ou simples pour stocker les mots de passe., Si un attaquant accède à la base de données, il peut facilement casser les hachages, par exemple en utilisant des GPU, et y accéder.

    atténuation de l’exposition aux données sensibles

    • identifiez les données sensibles et appliquez les contrôles de sécurité appropriés.
    • ne stockez pas de données sensibles sauf si cela est absolument nécessaire-jetez les données sensibles, utilisez la tokenisation ou la troncature.
    • chiffrez toutes les données sensibles au repos à l’aide d’algorithmes, de protocoles et de clés de chiffrement puissants.
    • chiffrez les données en transit à l’aide de protocoles sécurisés tels que TLS et HTTP HSTS.
    • Désactiver la mise en cache pour les données sensibles.,
    • stockez les mots de passe en utilisant des fonctions de hachage fortes et salées comme Argon2, scrypt et bcrypt.

    XML External Entities (XXE)

    si une application web utilise un composant vulnérable traitant XML, les attaquants peuvent télécharger XML ou inclure du contenu hostile, des commandes ou du code dans un document XML.,2ba97df6″>

    un attaquant peut obtenir des informations sur un réseau privé en changeant la ligne D’entité en:

    atténuation des attaques XXE

    • utilisez des formats de données plus simples comme JSON et évitez la sérialisation
    • corrigez ou mettez à niveau tous et le traitement DTD
    • mettre en œuvre la liste blanche et la désinfection des entrées XML côté serveur
    • valider XML en utilisant xsd ou une validation similaire
    • utiliser les outils SAST pour détecter XXe dans le code source, avec une révision manuelle si possible

    A5., Contrôle d’accès cassé

    Le contrôle d’accès cassé signifie que les attaquants peuvent accéder aux comptes d’utilisateurs et agir en tant qu’utilisateurs ou Administrateurs, et que les utilisateurs réguliers peuvent obtenir des fonctions privilégiées involontaires. Des mécanismes d’accès solides garantissent que chaque rôle dispose de privilèges clairs et isolés.,ne pas autoriser les utilisateurs à créer, lire ou supprimer un enregistrement

  • appliquer les limites d’utilisation et de débit
  • désactiver la liste des répertoires du serveur et ne pas stocker les métadonnées ou les fichiers de sauvegarde dans le dossier racine
  • consigner les tentatives d’accès infructueuses et alerter les administrateurs
  • limite de débit API et OWASP Top 10 des attaques
    • erreurs de configuration de sécurité━les contrôles de sécurité mal configurés sont un point d’entrée courant pour les attaquants., Par exemple, une base de données déployée avec un mot de passe administrateur par défaut.
    • Cross-Site Scripting (XSS) – les attaquants utilisent XSS pour exploiter les faiblesses de la gestion des sessions et exécuter du code malveillant sur les navigateurs des utilisateurs.
    • désérialisation non sécurisée━la désérialisation est une technique complexe, mais si elle est exécutée correctement, elle permet aux attaquants d’exécuter du code malveillant sur un serveur.
    • utilisation de composants avec des vulnérabilités connues-la plupart des applications web s’appuient fortement sur des composants open-source, et ceux-ci peuvent inclure des vulnérabilités connues que les attaquants peuvent exploiter pour accéder ou causer des dommages.,
    • journalisation et surveillance insuffisantes━les attaquants comptent sur le manque de surveillance et de réponse rapide pour réussir avec tout autre vecteur d’attaque.

    Découvrez comment Imperva Web Application Firewall peut vous aider avec OWASP Top 10 attaques.

    Imperva Application Security

    le pare-feu D’Application web (WAF) D’Imperva, leader du secteur, offre une protection robuste contre les attaques OWASP Top 10 et autres menaces d’application web. Imperva offre deux options de déploiement WAF:

    • Cloud WAF—autoriser le trafic légitime et prévenir le mauvais trafic., Protégez vos applications à la périphérie avec un WAF cloud de classe entreprise.
    • Gateway WAF-protégez les applications et les API de votre réseau avec Imperva Gateway WAF.

    en plus de WAF, Imperva fournit une protection multicouche pour s’assurer que les sites Web et les applications sont disponibles, facilement accessibles et sûrs. La solution de sécurité des applications Imperva comprend:

    • Protection DDoS-maintenir la disponibilité dans toutes les situations. Empêchez tout type d’attaque DDoS, quelle que soit sa taille, d’empêcher l’accès à votre site web et à votre infrastructure réseau.,
    • CDN-améliorez les performances du site web et réduisez les coûts de bande passante avec un CDN conçu pour les développeurs. Mettez en Cache les ressources statiques à la périphérie tout en accélérant les API et les sites Web dynamiques.
    • Gestion des bots-analyse le trafic de votre bot pour identifier les anomalies, identifie le mauvais comportement du bot et le valide via des mécanismes de défi qui n’ont pas d’impact sur le trafic utilisateur.
    • API security-protège les API en veillant à ce que seul le trafic souhaité puisse accéder à votre point de terminaison API, ainsi qu’en détectant et en bloquant les exploits des vulnérabilités.,
    • Account takeover protection-utilise un processus de détection basé sur l’intention pour identifier et se défendre contre les tentatives de reprise des comptes des utilisateurs à des fins malveillantes.
    • râpe-Protégez vos applications de l’intérieur contre les attaques connues et zero-day. Protection rapide et précise sans signature ni Mode d’apprentissage.
    • analyse des attaques: atténuez et répondez aux menaces de sécurité réelles de manière efficace et précise grâce à des informations exploitables dans toutes vos couches de défense.

Articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *