Comment se protéger contre le TOP 10 de l'OWASP ?
Le Projet OWASP
L’Open Web Application Security Project (OWASP) est une communauté ouverte, regroupant des experts en sécurité des applications du monde entier, chacun partageant son expertise et travaillant en collaboration pour identifier les failles de sécurité les plus importantes inhérentes aux applications et services Web. Initialement enregistrée en 2004 aux États-Unis et en 2011 en Europe, cette communauté s’est considérablement développée au fil des années et est aujourd’hui reconnue mondialement comme une organisation leader dans le domaine de la sécurité des systèmes d’information.
Son top 10 des failles les plus significatives constitue un standard utilisé par la majorité des acteurs du monde de la cybersécurité et sert de référence pour un nombre considérable de réglementations (PCI DSS, NIS, GDPR et HIPAA).
Comment protéger vos applications contre les attaques figurant dans le Top 10 de l’OWASP ?
Broken Access Control | Très souvent, des restrictions d’accès pour les utilisateurs ne sont pas en œuvre efficacement. |
|
| Lire l'article sur la vulnérabilité Path Transversal pour en savoir plus. |
Cryptographic Failures | Une mauvaise utilisation de la cryptographie avec des clés faibles, une mauvaise encryptions ou l’utilisation de fonctions de hash trop anciennes peut amener à des vulnérabilités dans l’applications web. |
|
| Limite de la taille des en-têtes http Limite du nombre de requête Passage du site en HTTPS |
Injection | Les injections (SQL, commandes, LDAP, XPath) se produisent lorsque des données non sécurisées sont envoyées à un interpréteur sous forme de commande ou de requête. |
|
| Lire les articles suivants : |
Insecure Design | Le concept d’insecure design signifie que la sécurité n’est pas intégrée dans le développement d’une application. Ce n’est pas une vulnérabilité mais plus un problème dans l’organisation des équipes. |
|
| Application de patch virtuels pour empêcher l’exploitation de vulnérabilités |
Security Misconfiguration | Utilisation d’une configuration par défaut ou non sécurisée. En-têtes HTTP contenant des messages d’erreurs avec des informations sensibles. |
|
| Interception des messages d’erreurs Utilisation d’une “Blacklist” (XEE) |
Vulnerable and Outdated Components | De manière générale, les librairies, frameworks, modules, etc. ont le même niveau de privilège que l’application qui les utilise. |
|
| Moteur de sécurité dédié (injection SQL etc.) Patch Virtuels |
Identification and Authentication Failure | Les fonctions d’authentification et de gestion de sessions sont mal configurées. |
|
| Limite de requêtes Réputation d’adresse IP |
Software and Data Integrity Failures | Conséquences d’une violation de l’intégrité, comme l’utilisation d’un CDN non-officiel ou une mauvaise gestion des objets sérialisés. |
|
| Utilisation d’une “Blacklist” |
Security Logging and Monitoring Failures | L’absence de surveillance et de log peut conduire à avoir un système sensible. |
|
| Panneau de contrôle Journal de log |
Server-Side Request Forgery | Une SSFR a lieu quand le backend d’une application est utilisé pour interagir avec des fichiers locaux ou externes. |
|
| Limite du nombre de requêtes Utilisation d’une “Blacklist” |
R&S®Cloud Protector peut protéger vos applications web sur internet des attaques du top 10 de l’OWASP, des failles zero-day et plus, tout en limitant les faux positifs. Commencez votre essai gratuit de 14 jours maintenant!
Demandez vos 14 jours de démo gratuite
Qu’attendez-vous pour essayer ?