vendredi , 9 juin 2023

La nouvelle liste #OWASP du top 10 des vulnérabilités applicatives web

Marc Barbezat 4 décembre 2017 Actualités cybersécurité

Merci de mettre à jour vos références en matière de vulnérabilités applicatives web. OWASP a maintenant publié sa nouvelle version de son top 10.

un petit clic pour ma veille

3 nouveaux risques dans la liste 2017

Dans la version 2017, 3 nouveaux risques apparaissent, 2 disparaissent et 2 sont regroupés comme le montre le récapitulatif ci-dessous:

Modifications OWASP top 10 2017

Les 3 nouveaux risques inclus dans la listes sont:

  1. A4:2017-XML External Entities (XXE): De nombreux processeurs XML anciens ou mal configurés évaluent les références d’entités externes dans les documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de port interne, de l’exécution de code à distance et des attaques par déni de service.
  2. A8:2017- Insecure Deserialization: La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’aboutissent pas à l’exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, y compris des attaques de relecture, d’injection et d’escalade de privilèges. Pour information, la sérialisation est le processus de transformation d’un objet dans une séquence d’octets qui peut être persisté sur un disque ou base de données, ou peut être envoyé par le biais des flux. Le processus inverse de créer un objet à partir d’une séquence d’octets est surnommé désérialisation.
  3. A10:2017- Insufficient Logging & Monitoring: Une journalisation et une surveillance insuffisantes, couplées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de pivoter vers plus de systèmes et d’altérer, extraire ou détruire des données. La plupart des études de violation montrent que le temps de détection d’une violation dépasse 200 jours, généralement détectés par des parties externes plutôt que par des processus internes ou de surveillance.

Et voici le rapport présentant ce nouveau top 10 OWASP

Cliquer pour accéder à OWASP_Top_10-2017_%28en%29.pdf.pdf

A lire aussi sur ce sujet:

New OWASP Top 10 List Includes Three New Web Vulns

But dropping cross-site request forgeries from list is a mistake, some analysts say. After months of review, the Open Web Application Security Project has finally formally updated its widely used, if somewhat disputed, ranking of top Web application security vulnerabilities.

Etiquette

A propos Marc Barbezat

Veilleur et spécialiste en cybersécurité

Vérifiez aussi

Ransomware : comment les gangs opèrent-ils et maximisent leurs profits

Découvrez comment les gangs de rançongiciels transforment les attaques en véritables modèles commerciaux

la trace d'une maint ensanglantée sur un mur

Les dernières actualités cybercrime | 9 juin 2023

Découvrez les actualités importantes du cybercrime détectées cette dernière semaine

un petit clic pour ma veille
Pour décoder l'actualité sur la cybersécurité , le cybercrime et les cyberattaques
© Copyright 2023, Tout droit réservé

S'incrire à la newsletter

Inscrivez-vous et recevez la synthèse des nouveaux articles directement dans votre boîte aux lettres.

Merci pour votre inscription !

Un erreur s'est produite. Merci d'essayer à nouveau ou utiliser le formulaire disponible dans la barre latérale du site.

Fréquence habituelle : 2 envois / semaine

Send this to a friend