jeudi , 1 octobre 2020

La nouvelle liste #OWASP du top 10 des vulnérabilités applicatives web

Merci de mettre à jour vos références en matière de vulnérabilités applicatives web. OWASP a maintenant publié sa nouvelle version de son top 10.

3 nouveaux risques dans la liste 2017

Dans la version 2017, 3 nouveaux risques apparaissent, 2 disparaissent et 2 sont regroupés comme le montre le récapitulatif ci-dessous:


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement
Modifications OWASP top 10 2017

Les 3 nouveaux risques inclus dans la listes sont:

  1. A4:2017-XML External Entities (XXE): De nombreux processeurs XML anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de port interne, de l’exécution de code à distance et des attaques par déni de service.
  2. A8:2017- Insecure Deserialization: La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’aboutissent pas à l’exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, y compris des attaques de relecture, d’injection et d’escalade de privilèges. Pour information, la sérialisation est le processus de transformation d’un objet dans une séquence d’octets qui peut être persisté sur un disque ou base de données, ou peut être envoyé par le biais des flux. Le processus inverse de créer un objet à partir d’une séquence d’octets est surnommé désérialisation.
  3. A10:2017- Insufficient Logging & Monitoring: Une journalisation et une surveillance insuffisantes, couplées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de pivoter vers plus de systèmes et d’altérer, extraire ou détruire des données. La plupart des études de violation montrent que le temps de détection d’une violation dépasse 200 jours, généralement détectés par des parties externes plutôt que par des processus internes ou de surveillance.

Et voici le rapport présentant ce nouveau top 10 OWASP

Cliquer pour accéder à OWASP_Top_10-2017_%28en%29.pdf.pdf

A lire aussi sur ce sujet:

New OWASP Top 10 List Includes Three New Web Vulns

But dropping cross-site request forgeries from list is a mistake, some analysts say. After months of review, the Open Web Application Security Project has finally formally updated its widely used, if somewhat disputed, ranking of top Web application security vulnerabilities.

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

kit premier secours

Un guide du NIST pour se rétablir après une attaque de ransomware

Le NIST a publié un guide pratique sur la cybersécurité que les entreprises peuvent utiliser pour se remettre d'attaques de type ransomware

Un dealer du darknet trahi … par ses empreintes digitales

Voici le récit intéressant qui montre comment un e-baron de la drogue est tombé grâce à une simple photographie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter