Comment se protéger contre le TOP 10 de l'OWASP ?

Le Projet OWASP

L’Open Web Application Security Project (OWASP) est une communauté ouverte, regroupant des experts en sécurité des applications du monde entier, chacun partageant son expertise et travaillant en collaboration pour identifier les failles de sécurité les plus importantes inhérentes aux applications et services Web. Initialement enregistrée en 2004 aux États-Unis et en 2011 en Europe, cette communauté s’est considérablement développée au fil des années et est aujourd’hui reconnue mondialement comme une organisation leader dans le domaine de la sécurité des systèmes d’information. Son top 10 des failles les plus significatives constitue un standard utilisé par la majorité des acteurs du monde de la cybersécurité et sert de référence pour un nombre considérable de réglementations (PCI DSS, NIS, GDPR et HIPAA).

Comment protéger vos applications contre les attaques figurant dans le Top 10 de l’OWASP ?

OWASP Top 10 Description Impact Bonnes pratiques R&S®Cloud Protector
Injection Les injections (SQL, commandes, LDAP, XPath) se produisent lorsque des données non sécurisées sont envoyées à un interpréteur sous forme de commande ou de requête
  • Perte, corruption ou divulgation de données
  • Vol de compte ou refus d’accès
  • Prise de contrôle de l’hôte
  • Scan du serveur
  • Eviter l'utilisation d'interpréteur de commande
  • Utiliser des interfaces
  • Créer une liste d'entrées autorisées
  • Créer une liste d'entrées autorisées
  • Echapper les entrées d'utilisateurs
  • Contrôler les fuites de données massives

Lisez les articles sur l'injection de commandes et l'injection SQL pour en savoir plus.
Broken Authentication Les fonctions d’authentification et de gestion de sessions sont mal configurées.
  • Blanchiment d'argent
  • Fraude à la sécurité sociale
  • Vol d'identité
  • Divulgation de données protégées
  • Utiliser l'authentification multi-facteur
  • Changer les informations d'identification par défaut
  • Mettre en œuvre la vérification des mots de passe faibles.
  • Limiter les tentatives de connexion échouées

Limitation des requètes
Ip Reputation

Learn more: Article sur Cloud WAF
Sensitive Data exposure Certaines applications web ou API n'offrent pas une protection suffisante en ce qui concerne les données sensibles (données financières, données de santé, données personnelles).
  • Divulgation de données personnelles
  • Vol d'identité
  • Stocker uniquement les données nécessaires
  • Cryptez toutes les données
  • Mettre en place le protocole HTTPS

Limiter la taille des en-têtes HTTPS
XML External Entities Certaines applications web utilisent des analyseurs XML qui peuvent interpréter les références à une ou plusieurs entités externes.
  • Perte, corruption ou divulgation de données
  • Vol de compte ou refus d'accès
  • Scan du serveur
  • Attaque DDoS
  • Utiliser JSON quand c'est possible
  • Mettre à jour les bibliothèques XML
  • Désactiver les "external entities"
  • Echapper les entrées utilisateurs

utilisation de Blacklist
Broken Access Control Très souvent, des restrictions d’accès pour les utilisateurs ne sont pas en œuvre efficacement.
  • Utilisation des fonctions des administrateurs
  • Modification des données et de l'accès au compte
  • Divulgation des données
  • Rejeter toutes les ressources extérieures
  • Minimiser le partage des ressources d'origine externes(CORS)

Lisez l'article sur Path traversal pour en savoir plus
Security Misconfiguration Utilisation d’une configuration par défaut ou non sécurisée. En-têtes HTTP contenant des messages d’erreurs avec des informations sensibles
  • Accès aux données du système
  • Compromission complète du serveur
  • Supprimer une fonction non utilisée
  • Revoir la configuration
  • Architecture d'application segmentée
  • Utiliser le test automatisé

Interception des messages d'erreur
Cross-site scripting (XSS) Les XSS se produisent lorsqu’une application récupère des données non sécurisées pour les insérer dans une page web ou quand une page est mise à jour avec les entrées utilisateurs non filtrées
  • Vol des informations d'identification et des sessions
  • Téléchargement de malware
  • Exécution de code arbitraire sur le navigateur de la victime
  • Utiliser des frameworks web modernes
  • Vérifier les entrées utilisateur
  • Activer la politique de sécurité du contenu

Lire l'article sur les attaques XSS pour en savoir plus
Insecure Deserialization On parle de désérialisation non sécurisée lorsqu'une application web reçoit des objets sérialisés malveillants.
  • Exécution de code arbitraire sur le serveur
  • Signature numérique sur les objets sérialisés
  • S'assurer que la valeur correspond au type recherché
    • .


Utilisation d’une “Blacklist”
Using Components with known vulnerabilities De manière générale, les librairies, frameworks, modules, etc. ont le même niveau de privilège que l’application qui les utilise.
  • Le hacker peut exploiter n'importe laquelle des 10 principales vulnérabilités de l'OWASP
    • .
  • Supprimer une fonctionnalité inutilisée
  • Mettre à jour le framework et les composants externes
  • Télécharger depuis les sources officielles

Moteur de sécurité dédié (pour l'injection SQL, etc.)
Signatures génériques
Patching virtuel
Insufficient Logging & monitoring L’absence de surveillance et de log peut conduire à avoir un système sensible
  • Permet à un pirate de poursuivre son attaque
  • Les attaques ne seront pas détectées
  • Loguer chaque échec de sécurité avec le contexte
  • Générer un journal avec un format comme JSON pour faciliter la centralisation
    • .


Panneau de contrôle
Journal de log

R&S®Cloud Protector peut protéger vos applications web sur internet des attaques du top 10 de l’OWASP, des failles zero-day et plus, tout en limitant les faux positifs. Commencez votre essai gratuit de 14 jours maintenant!

Demandez vos 14 jours de démo gratuite

Cela ne prend que 60 secondes pour protéger vos sites et applications web.
Qu’attendez-vous pour essayer ?
14 Jours Free Trial