La nouvelle liste #OWASP du top 10 des vulnérabilités applicatives web une référence incontournable lorsque l'on parle de sécurité applicative web

Merci de mettre à jour vos références en matière de vulnérabilités applicatives web. OWASP a maintenant publié sa nouvelle version de son top 10.

3 nouveaux risques dans la liste 2017

Dans la version 2017, 3 nouveaux risques apparaissent, 2 disparaissent et 2 sont regroupés comme le montre le récapitulatif ci-dessous:

Modifications OWASP top 10 2017

Les 3 nouveaux risques inclus dans la listes sont:

  1. A4:2017-XML External Entities (XXE): De nombreux processeurs XML anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de port interne, de l’exécution de code à distance et des attaques par déni de service.
  2. A8:2017- Insecure Deserialization: La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’aboutissent pas à l’exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, y compris des attaques de relecture, d’injection et d’escalade de privilèges. Pour information, la sérialisation est le processus de transformation d’un objet dans une séquence d’octets qui peut être persisté sur un disque ou base de données, ou peut être envoyé par le biais des flux. Le processus inverse de créer un objet à partir d’une séquence d’octets est surnommé désérialisation.
  3. A10:2017- Insufficient Logging & Monitoring: Une journalisation et une surveillance insuffisantes, couplées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de pivoter vers plus de systèmes et d’altérer, extraire ou détruire des données. La plupart des études de violation montrent que le temps de détection d’une violation dépasse 200 jours, généralement détectés par des parties externes plutôt que par des processus internes ou de surveillance.

Et voici le rapport présentant ce nouveau top 10 OWASP

No Title

No Description

A lire aussi sur ce sujet:

New OWASP Top 10 List Includes Three New Web Vulns

After months of review, the Open Web Application Security Project has finally formally updated its widely used, if somewhat disputed, ranking of top Web application security vulnerabilities. OWASP’s Top 10 list for 2017 replaces three vulnerability categories from the previous list with new ones and shuffles a couple of others around in moves that not everybody agrees with.

About Marc Barbezat

Blogueur et spécialiste en sécurité #infoSec #cyberSec, je suis surtout un veilleur passionné par l’innovation et les nouvelles tendances.

Laisser un commentaire