Comment se protéger contre le TOP 10 de l'OWASP ?

Le Projet OWASP

L’Open Web Application Security Project (OWASP) est une communauté ouverte, regroupant des experts en sécurité des applications du monde entier, chacun partageant son expertise et travaillant en collaboration pour identifier les failles de sécurité les plus importantes inhérentes aux applications et services Web. Initialement enregistrée en 2004 aux États-Unis et en 2011 en Europe, cette communauté s’est considérablement développée au fil des années et est aujourd’hui reconnue mondialement comme une organisation leader dans le domaine de la sécurité des systèmes d’information. 

Son top 10 des failles les plus significatives constitue un standard utilisé par la majorité des acteurs du monde de la cybersécurité et sert de référence pour un nombre considérable de réglementations (PCI DSS, NIS, GDPR et HIPAA).

Comment protéger vos applications contre les attaques figurant dans le Top 10 de l’OWASP ?

OWASP Top 10
Description
Impact
Bonnes pratiques
R&S®Cloud Protector
Broken Access ControlTrès souvent, des restrictions d’accès pour les utilisateurs ne sont pas en œuvre efficacement.
  • Utilisation des fonctions administrateur

  • Modification des données et accès

  • Fuites de données

  • Refuser toutes les ressources extérieures

  • Minimiser le partage de ressources externes (CORS)


Lire l'article sur la vulnérabilité Path Transversal pour en savoir plus.
Cryptographic Failures Une mauvaise utilisation de la cryptographie avec des clés faibles, une mauvaise encryptions ou l’utilisation de fonctions de hash trop anciennes peut amener à des vulnérabilités dans l’applications web.
  • Divulgation des données

  • Vol d’identité

  • Vol de compte

  • Stocker uniquement les données nécessaires

  • Crypter toutes les données

  • Implémenter le protocole HTTPS

  • Utiliser des clés fortes

  • Utiliser des mécanismes d’encryption récent



Limite de la taille des en-têtes http
Limite du nombre de requête
Passage du site en HTTPS
Injection Les injections (SQL, commandes, LDAP, XPath) se produisent lorsque des données non sécurisées sont envoyées à un interpréteur sous forme de commande ou de requête.
  • Perte, corruption ou divulgation de données

  • Vol de compte ou refus d’accès

  • Prise de contrôle de l’hôte

  • Scan du serveur

  • Eviter l’utilisation d’interpréteur de commande

  • Utiliser des interfaces

  • Créer une liste d’entrées autorisée

  • Echapper les entrées utilisateurs

  • Contrôler les fuites de données massives


Lire les articles suivants :
Insecure DesignLe concept d’insecure design signifie que la sécurité n’est pas intégrée dans le développement d’une application.
Ce n’est pas une vulnérabilité mais plus un problème dans l’organisation des équipes.
  • Un attaquant peut utiliser n’importe quelle vulnérabilité du top 10 de l’OWASP

  • Utilisation de pattern de design sécurisés

  • Ecriture de tests unitaires et fonctionnels

  • Passer du DevOps au DevSecOps


Application de patch virtuels pour empêcher l’exploitation de vulnérabilités
Security MisconfigurationUtilisation d’une configuration par défaut ou non sécurisée.
En-têtes HTTP contenant des messages d’erreurs avec des informations sensibles.
  • Utilisation des fonctions administrateur

  • Fuites de données

  • Compromission du serveur

  • Scan du serveur

  • Attaques DDoS

  • Supprimer les fonctions non utilisées

  • Vérifier la configuration

  • Avoir une architecture segmentée

  • Tests automatisés


Interception des messages d’erreurs
Utilisation d’une “Blacklist” (XEE)
Vulnerable and Outdated ComponentsDe manière générale, les librairies, frameworks, modules, etc. ont le même niveau de privilège que l’application qui les utilise.
  • Un attaquant peut utiliser n’importe quelle vulnérabilité du top 10 de l’OWASP

  • Supprimer les fonctionnalités inutilisées

  • Mettre à jour les composants externes

  • Télécharger les composants depuis une source officielle


Moteur de sécurité dédié (injection SQL etc.)
Patch Virtuels
Identification and Authentication FailureLes fonctions d’authentification et de gestion de sessions sont mal configurées.
  • Blanchiment d’argent

  • Fraude de la sécurité sociale

  • Vol d’identité

  • Divulgation de données protégées

  • Authentification à plusieurs facteurs
    Changer les mots de passe
    Vérifier les mots de passe faibles
    Limiter le nombre d tentatives de connexion


Limite de requêtes
Réputation d’adresse IP
Software and Data Integrity Failures Conséquences d’une violation de l’intégrité, comme l’utilisation d’un CDN non-officiel ou une mauvaise gestion des objets sérialisés.
  • Exécution de code arbitraire sur le serveur

  • Utilisation de code vulnérable

  • Ajout d’une signature sur les objets sérialisé
    Vérifier les types


Utilisation d’une “Blacklist”
Security Logging and Monitoring Failures L’absence de surveillance et de log peut conduire à avoir un système sensible.
  • Permet à un attaquant de continuer une attaque

  • Une attaque ne sera pas détectée

  • Ajouter aux logs chaque alerte de sécurité avec son contexte
    Générer des logs au format JSON pour pouvoir les centraliser


Panneau de contrôle
Journal de log
Server-Side Request ForgeryUne SSFR a lieu quand le backend d’une application est utilisé pour interagir avec des fichiers locaux ou externes.
  • Scan du serveur

  • Fuite de fichiers

  • Exécution de code

  • Désactiver les redirections http
    Utiliser une liste d’URL autorisées
    Générer des logs sur le trafic réseau


Limite du nombre de requêtes
Utilisation d’une “Blacklist”

R&S®Cloud Protector peut protéger vos applications web sur internet des attaques du top 10 de l’OWASP, des failles zero-day et plus, tout en limitant les faux positifs. Commencez votre essai gratuit de 14 jours maintenant!

Demandez vos 14 jours de démo gratuite

Cela ne prend que 60 secondes pour protéger vos sites et applications web.
Qu’attendez-vous pour essayer ?