Académique Documents
Professionnel Documents
Culture Documents
OWASP Top 10 APPLICATION SECURITY VULNERABILITIES - 2010 French
OWASP Top 10 APPLICATION SECURITY VULNERABILITIES - 2010 French
Avant-propos
A propos de l'OWASP
L'Open Web
communaut
dvelopper,
confiance.
gratuit)...
Copyright et License
Copyright 2003 2010 The OWASP Foundation
Ce document est publi sous licence Creative Commons Attribution ShareAlike 3.0. Pour toute
rutilisation ou distribution, vous devez expliquer les conditions contractuelles de la licence de ce travail.
Introduction
Bienvenue
Cette mise jour importante prsente une liste plus concise oriente Risque des Dix Risques de Scurit Applicatifs Web les
Plus Critiques. Le Top 10 de l'OWASP a toujours t orient risque, mais cette mise jour rend ceci beaucoup plus clair par
rapport aux ditions prcdentes. Il fournit galement des informations supplmentaires sur la faon d'valuer ces risques pour
vos applications.
Pour chaque item du Top 10, cette version prsente la probabilit globale ainsi que les facteurs de consquence utiliss pour
classer la gravit spcifique du risque. Il prsente ensuite des indications sur la faon de vrifier si vous avez des problmes dans
le domaine, comment les viter, quelques exemples de failles, ainsi que des pointeurs pour plus d'informations.
L'objectif principal du Top 10 de l'OWASP est d'duquer les dveloppeurs, concepteurs, architectes, managers, et les entreprises
au sujet des consquences des faiblesses les plus importantes inhrentes la scurit des applications web. Le Top 10 fournit des
techniques de base pour se protger contre ces domaines problmatiques haut risque - et fournit galement des conseils sur la
direction suivre.
Avertissements
Remerciements
Aspect Security
MITRE CVE
Softtek
WhiteHat Security Inc. Statistics
RN
AJOUT: A6 Mauvaise configuration scurit. Cet lment tait prsent dans le Top10 2004 en position A10 :Gestion
de configuration non scurise , mais avait t retir en 2007, car il ntait pas considr comme un problme logiciel.
Nanmoins, dun point de vue risque au sein dune organisation et du nombre de cas, il mrite clairement son retour
dans le Top10; il est donc de nouveau prsent.
AJOUT: A10 Redirections et Renvois non valids. Ce problme apparat dans ce Top10. Preuve quil est relativement
mal connu mais trs rpandu et quil peut avoir des consquences importantes..
RETIRE: A3 Excution de fichier malicieux. Cest un problme toujours important dans beaucoup denvironnements.
Mais le nombre de cas important en 2007, tait du un nombre important dapplications PHP vulnrables. PHP est
maintenant fourni avec une configuration par dfaut plus scurise rduisant directement ce cas.
RETIRE: A6 Fuite dinformations et traitement derreur incorrect. Cest un problme trs rpandu, mais limpact de
laffichage des traces dappels des fonctions et des messages derreurs est souvent minimal. Avec lajout de Mauvaise
configuration scurit cette anne, la gestion des erreurs via une configuration correcte est une partie importante de la
configuration scurit de vos applications et serveurs.
A2 Failles dinjection
A1 Injection
Vecteurs
dattaques
Vulnrabilit
Attaque
Faiblesse
Contrles de
Scurit
Impacts
Technique
Impacts
Mtier
Impact
Contrle
Actif
Attaque
Faiblesse
Impact
Contrle
Fonction
Attaque
Faiblesse
Impact
Actif
Faiblesse
Contrle
Parfois ce chemin est extrmement simple dcouvrir et exploiter, parfois extrmement difficile. De la mme manire le
prjudice peut tre trs faible tout comme mettre en pril votre entreprise. Pour dterminer le risque pour votre entreprise,
vous pouvez valuer la probabilit associe lie chaque menace, vecteur d'attaque et faiblesse de scurit, et la combiner avec
une valuation de l'impact technique et mtier votre entreprise. Lensemble de ces facteurs dtermine le risque global.
Rfrences
Vecteur
dattaque
Vraisemblance
de la
vulnrabilit
Dtection
de la
vulnrabilit
Impact
Technique
Simple
Trs rpandue
Simple
Svre
Moyen
Commune
Moyen
Modr
Difficile
Rare
Difficile
Mineur
Impact
Mtier
OWASP
Mthodologie de classement du risque
de lOWASP
Article sur la modlisation des
Menaces et du risque
Externes
T10
A1 Injection
Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donne non fiable
est envoye un interprteur en tant qu'lment d'une commande ou d'une requte. Les
donnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excuter des
commandes fortuites ou accder des donnes non autorises.
A2 Cross-Site
Scripting (XSS)
Les failles XSS se produisent chaque fois qu'une application prend des donnes non fiables et les
envoie un browser web sans validation approprie. XSS permet des attaquants d'excuter du
script dans le navigateur de la victime afin de dtourner des sessions utilisateur, dfigurer des
sites web, ou rediriger l'utilisateur vers des sites malveillants.
A3 - Violation de
Gestion
d'Authentification
et de Session
A4 - Rfrences
directes non
scurises un
Objet
Une rfrence directe un objet se produit quand un dveloppeur expose une rfrence un
objet d'excution interne, tel un fichier, un dossier, un enregistrement de base de donnes, ou
une cl de base de donnes. Sans un contrle d'accs ou autre protection, les attaquants peuvent
manipuler ces rfrences pour accder des donnes non autorises..
A5 - Falsification de
requte intersite
(CSRF)
Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifie
envoyer une requte HTTP forge, comprenant le cookie de session de la victime ainsi que toute
autre information automatiquement inclue, une application web vulnrable. Ceci permet
l'attaquant de forcer le navigateur de la victime gnrer des requtes dont l'application
vulnrable pense qu'elles manent lgitimement de la victime
A6 - Mauvaise
configuration
Scurit
Une bonne scurit exige d'avoir une configuration scurise dfinie et dploye pour
l'application, les contextes, serveur d'application, serveur web, serveur de base de donnes, et la
plate-forme. Tous ces paramtres doivent tre dfinis, mis en uvre, et maintenu afin de ne pas
comprendre de failles de scurit. Ceci inclut de maintenir tous les logiciels jour, y compris
toutes les bibliothques de code employes par l'application.
A7 - Stockage
Cryptographique
non Scuris
Beaucoup d'applications web ne protgent pas correctement les donnes sensibles, telles que les
cartes de crdit, SSNs, les informations d'authentification, avec un chiffrement ou un hash
appropri. Les pirates peuvent voler ou de modifier ces donnes faiblement protges pour
perptrer un vol d'identit et d'autres crimes, tels que la fraude la carte de crdit.
A8 - Manque de
Restriction dAccs
URL
Beaucoup d'applications web vrifient les droits d'accs URL avant de rendre les liens protgs.
Cependant, les applications doivent effectuer des contrles d'accs similaires chaque fois que ces
pages sont accdes, ou les attaquants seront en mesure de forger des URL pour accder ces
pages caches de toute faon.
A9 - Protection
insuffisante de la
couche Transport
A10 - Redirections
et Renvois non
valids
Les applications web rorientent et font suivre frquemment les utilisateurs vers d'autres pages
et sites web, et utilisent des donnes non fiables pour dterminer les pages de destination. Sans
validation approprie, les attaquants peuvent rediriger les victimes vers des sites de phishing ou
de logiciel malveillant, ou utiliser les renvois pour accder des pages non autorises.
A1
Agents de Menace
Injection
Vulnrabilit
de scurit
Vecteurs
dattaque
__________
Exploitation
SIMPLE
Considrer toute
personne en
mesure de
soumettre des
donnes non fiables
au systme, y
compris les
utilisateurs
externes, internes,
et les
administrateurs.
Lattaquant envoie
un simple texte
exploitant la
syntaxe de
linterprteur cibl.
Presque toute
source de donne
peut tre un
vecteur dinjection,
y compris les
sources internes.
Prvalence
COMMUNE
Impacts
mtier
Impacts
technique
Dtection
MOYENNE
Impact
SEVERE
Une injection peut
mener de la perte
ou corruption de
donnes, perte de
traabilit ou du
dni daccs. Elle
peut mener parfois
jusqu la prise de
contrle total du
serveur.
__________
Considrer la valeur
mtier de la
donnes affecte et
de la plateforme
excutant
linterprteur.
Toute donne peuttre vole, modifie
ou efface. Votre
image de marque
peut-elle tre
entache?
Suis-je vulnrable?
Rfrences
OWASP
Externes
CWE Entry 77 on Command Injection
CWE Entry 89 on SQL Injection
A2
Agents de Menace
__________
Considrer toute
personne en
mesure de
soumettre des
donnes au
systme. Ceci inclut
les utilisateurs
externes, internes,
et les
administrateurs.
Vecteurs
dattaque
Exploitation
MOYENNE
Lattaquant soumet
un contenu actif
lapplication,
qui
sera retourn au
navigateur de la
victime.
Toute
source de donnes
externes
peut
devenir un vecteur
d'attaque, telle que
la base de donnes.
Prvalence
TRES REPANDU
Impacts
technique
Impacts
mtier
Impact
MODERE
__________
Lattaquant
peut
excuter un script
dans le navigateur
de la victime afin de
rediriger le client,
voler les identifiants
de session, installer
un
programme
dfigurer le site,
etc.
Considrer
l'importance du
systme affect
pour l'activit, ainsi
que les donnes
traites par ce
dernier. Considrer
galement l'impact
d'une divulgation
de la vulnrabilit.
Dtection
FACILE
Suis-je vulnrable?
Rfrences
OWASP
Autres rfrences
CWE Entry 79 on Cross-Site Scripting
RSnakes XSS Attack Cheat Sheet
Violation de Gestion
dauthentification et de Session
A3
Agents de Menace
Vulnrabilit
de scurit
Vecteurs
dattaque
__________
Exploitation
MOYENNE
L'attaquant exploite
des fuites ou
faiblesses des
gestionnaires de
sessions et
d'authentification
(ex: comptes
exposs, mots de
passes, jetons de
session) pour
usurper l'identit.
Prvalence
REPANDU
Dtection
MOYENNE
Suis-je vulnrable?
Impacts
technique
Impacts
mtier
Impact
SEVERE
__________
En exploitant ces
faiblesses, un
attaquant accde
au systme sous
une autre identit
et en obtient les
privilges. Les
comptes privilgis
sont viss en
priorit.
Considrer la valeur
marchande ou
confidentielle des
donnes ou des
fonctions exposes.
Considrer
galement l'impact
d'une divulgation
de la vulnrabilit.
1.
a)
2.
Rfrences
OWASP
http://example.com/sale/saleitems;jsessionid=
2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
Autres rfrences
Rfrences directes
non scurises un objet
A4
Agents de Menace
__________
Considrer les
typologies
d'utilisateurs du
systme. Les
utilisateurs sont-ils
soumis des
restrictions d'accs
selon les types de
donnes accessibles
dans l'application?
Vulnrabilit
de scurit
Vecteurs
dattaque
Exploitation
FACILE
L'attaquant ayant
accs au systme
remplace la valeur
d'un paramtre
identifiant une
ressource par une
autre valeur
existante.
Aura-t-il accs
cette ressource?
Prvalence
REPANDU
Dtection
FACILE
Suis-je vulnrable?
Impacts
technique
Impacts
mtier
Impact
MODERE
__________
Les
ressources
identifies par le
paramtre
vulnrable
sont
compromises. Seuls
des
identifiants
flous ou alatoires
(ex: table d'index,
GUID) empchent
l'attaquant
de
deviner les valeurs.
Considrer la valeur
marchande des
donnes exposes.
Considrer
galement l'impact
d'une divulgation
de la vulnrabilit.
Rfrences
OWASP
Autres rfrences
CWE Entry 639 on Insecure Direct Object References
CWE Entry 22 on Path Traversal (exemple d'attaque sur des
rfrences directes non scurises)
Falsification de requte
intersite (CSRF)
A5
.
Agents de Menace
Vulnrabilit
de scurit
Vecteurs
dattaque
__________
Facilit
MOYENNE
Considrez un
individu pouvant
djouer vos
utilisateurs en
soumettant une
requte votre site.
Nimporte quel site
ou autre source
HTML que vos
utilisateurs
accdent pourrait le
faire.
Lattaquant forge
une requte HTTP
et amne une
victime la
soumettre via une
balise dimage, XSS,
ou de nombreuses
autres techniques.
Si lutilisateur est
authentifi ,
lattaque est un
succs.
Prvalence
REPANDUE
Impacts
technique
Impacts
mtier
Impact
MOYEN
__________
Dtectabilit
FACILE
Les attaquants
peuvent faire
changer aux
victimes nimporte
quelle donne dont
la victime a le droit
de modifier, ou
excuter nimporte
quelle action dont
la victime est
autorise.
Considrez la valeur
corporative de la
donne affecte ou
sa fonction.
Imaginez ne pas
tre convaincu si
lutilisateur avait
lintention
deffectuer laction.
Suis-je vulnrable?
Rfrences
OWASP
http://example.com/app/transferFunds?amount=1500
&destinationAccount=4673243243
Donc, lattaquant construit une requte qui transfrera un
montant dargent de la victime vers son propre compte. Il
imbriquera ensuite cette attaque sous une balise dimage ou
un IFRAME, pour finalement les placer dans diffrents sites
sous son contrle.
<img src="http://example.com/app/transferFunds?
amount=1500&destinationAccount=AttackerAccount#
width="0" height="0" />
Si la victime visite nimporte quel de ces sites pendant quelle
est authentifie example.com, les requtes forges vont
inclure les informations de la session de lutilisateur, et la
requte sera autorise par inadvertance.
Externe
CWE Entry 352 on CSRF
Mauvaise configuration
Scurit
A6
Agents de Menace
Vulnrabilit
de scurit
Vecteurs
dattaque
__________
Facilit
SIMPLE
Considrez des
attaquants externes
anonymes, ou des
utilisateurs
lgitimes, tentant
de compromettre le
systme.
Considrez aussi
des employs
internes voulant
dguiser leur
actions.
Attaquant accdant
des comptes par
dfaut, pages non
utilises,
vulnrabilits non
corriges, fichiers et
rpertoires non
corrigs, etc. afin
dobtenir des accs
non autoriss ou
connaissances du
systme.
Prvalence
COMMUNE
Dtectabilit
FACILE
Impacts
technique
Impacts
mtier
Impact
MOYEN
__________
Cette vulnrabilit
donne
frquemment aux
attaquants des
accs non autoriss
des systmes ou
des fonctionnalits.
Occasionnellement,
ces vulnrabilits
rsultent en une
compromission
complte du
systme.
Le systme peut
tre compromis
sans le savoir.
Toutes vos donnes
peuvent tre voles
ou modifies
lentement dans le
temps.
Les cots de
recouvrement
peuvent tre
importants.
Suis-je vulnrable?
Rfrences
OWASP
Externe
PC Magazine Article on Web Server Hardening
CWE Entry 2 on Environmental Security Flaws
CIS Security Configuration Guides/Benchmarks
Stockage Cryptographique
non Scuris
A7
Agents de Menace
__________
Considrez les
utilisateurs de
votre systme.
Aimeraient-ils
obtenir laccs des
donnes protges
dont ils nont pas
accs? Quen est-il
des administrateurs
internes?
Vulnrabilit
de scurit
Vecteurs
dattaque
Facilit
DIFFICILE
Les attaquants ne
brisent
normalement pas la
cryptographie. Ils
brisent autre chose,
comme trouver des
cls, des donnes
en clair, ou des
donnes via des
chemins qui
dcryptent
automatiquement.
Prvalence
NON COMMUN
Dtectabilit
DIFFICILE
Impacts
technique
Impacts
mtier
Impact
SEVERE
__________
Lchec compromet
rgulirement les
donns devant tre
cryptes.
Typiquement les
informations
contiennent des
donnes sensibles
tel des dossiers de
sant, identits,
cartes de crdit etc.
Considrez la valeur
business des
donnes perdues et
limpact sur votre
rputation. Quelle
est votre
responsabilit
lgale si des
donnes sont
exposes?
Suis-je vulnrable?
Rfrences
OWASP
Externe
CWE Entry 310 on Cryptographic Issues
CWE Entry 312 on Cleartext Storage of Sensitive Information
CWE Entry 326 on Weak Encryption
Manque de Restriction
dAccs URL
A8
Agents de Menace
Vulnrabilit
de scurit
Vecteurs
dattaque
__________
Exploitabilit
FACILE
L'attaquant,
utilisateur autoris du
systme, change
simplement l'URL
pour une page accs
privilgi. Si l'accs
est autoris, les
utilisateur anonymes
peuvent accder des
pages prives non
protges.
Prvalence
RARE
Dtection
MOYENNE
Impacts
technique
Impacts
mtier
Impact
MODR
__________
De telles failles
permettent un
attaquant d'accder
des
fonctionnalits non
autorises. Les
fonctions
d'administration
sont les cibles cls
La dtection est facile. La partie la plus difficile de ce type
consiste dterminer les pages (URLs) d'attaque.
Les application ne protgent pas toujours
correctement les requtes. Parfois la
protection des URLs est gre par
l'intermdiaire de la configuration, et le
systme est mal configur. Parfois les
dveloppeurs doivent inclure leur propre
vrification dans leur code, mais ils peuvent
oublier.
Considrez la valeur
mtier
des
fonctions exposes
et des donnes
traites.
Peut
galement
impacter
la
rputation si la
vulnrabilit a t
rendue publique.
Suis-je vulnrable ?
Rfrences
OWASP
OWASP Top 10-2007 on Failure to Restrict URL Access
ESAPI Access Control API
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo
Externes
CWE Entry 285 on Improper Access Control (Authorization)
Protection insuffisante de la
couche Transport
A9
Agents de Menace
__________
Toute personne
pouvant surveiller le
trafic rseau des
utilisateurs. Si
l'application est sur
internet, toute
personne sachant
comment les
utilisateurs accdent
l'application. Sans
oublier les
connections back-end.
Vulnrabilit
de scurit
Vecteurs
dattaque
Exploitabilit
DIFFICILE
Surveiller le trafic
rseau des utilisateurs
est gnralement
difficile, mais peut
parfois tre facile. La
principale difficult
rside dans le suivi du
trafic adquat du
rseau lorsque les
utilisateurs accdent
au site vulnrable.
Prvalence
COMMUN
Dtection
FACILE
Impacts
technique
Impacts
mtier
Impact
MODR
__________
Considrez la valeur
mtier des donnes
exposes sur le canal de
communication en
fonction des besoins de
confidentialit et
d'intgrit et de la
ncessit d'authentifier
les deux parties.
Suis-je vulnrable ?
1. Exiger SSL pour toutes les pages sensibles. Les requtes non SSL
sur ces pages doivent tre rediriges vers la page SSL.
2. Spcifier le drapeau scuris (secure flag) sur tous les cookies
sensibles.
3. Configurer SSL de faon n'utiliser que des algorithmes forts (ex :
respectant FIPS 140-2).
4. S'assurer que le certificat est valide, non expir, non rvoqu et
correspondant tous les domaines utiliss par le site.
5. Les connexions back-end devraient aussi utiliser SSL ou d'autres
technologies de chiffrement.
Rfrences
Scnario #1 : Un site n'utilise pas SSL pour les pages ncessitant une
authentification. L'attaquant surveille simplement le trafic rseau
(comme un rseau sans fil ouvert ou un rseau cbl) et observe un
cookie de session d'un utilisateur authentifi. L'attaquant peut alors
rutiliser ce cookie afin d'obtenir la session de l'utilisateur.
OWASP
Externes
CWE Entry 319 on Cleartext Transmission of Sensitive Information
SSL Labs Server Test
Definition of FIPS 140-2 Cryptographic Standard
Redirections et Renvois
non valids
A10
Agents de Menace
__________
Considrez toute
personne pouvant
tromper les utilisateurs
lors d'une requte
votre site web.
N'importe quel site web
ou autre flux HTML
utilis peut en tre la
cible.
Vulnrabilit
de scurit
Vecteurs
dattaque
Exploitabilit
MOYENNE
L'attaquant cre des
liens vers des
redirections non valides
et invite les utilisateurs
cliquer dessus. Les
victimes sont enclins
cliquer sur ces liens,
puisqu'ils pointent vers
un site valide.
L'attaquant utilise les
renvois (forwards) non
srs pour contourner des
contrles de scurit.
Prvalence
RARE
Dtection
FACILE
Impacts
technique
Impacts
mtier
Impact
MODR
__________
De telles redirections
peuvent permettre
l'installation de logiciels
malveillants ou
l'usurpation
d'informations sensibles
de l'utilisateur. Des
renvois non srs peuvent
permettre de contourner
les contrles d'accs.
Considrez la valeur
mtier associe la
confiance des
utilisateurs.
Qu'adviendrait-il s'ils
taient pigs par un
logiciel malveillant?
Qu'adviendrait-il si un
attaquant avait accs
des fonctions internes?
Suis-je vulnrable?
Rfrences
OWASP
http://www.example.com/redirect.jsp?url=evil.com
Scnario #2 : L'application utilise des renvois pour acheminer des
requtes entre diffrentes parties du site. Pour faciliter cela,
certaines pages utilisent un paramtre indiquant vers quelle page
l'utilisateur doit tre dirig en cas de succs de la transaction. Dans
ce cas, l'attaquant cre une URL satisfaisant les contrles d'accs de
l'application et le dirigeant ensuite vers une fonction administrateur
laquelle il ne devrait pas avoir accs.
http://www.example.com/boring.jsp?fwd=admin.jsp
Externes
CWE Entry 601 on Open Redirects
WASC Article on URL Redirector Abuse
+D
Exigences
de
Scurit des
Applications
Architecture
Scurise
Contrles
de
Scurit
Standards
Cycle de
Dveloppeme
nt
Scuris
Tutoriaux
de
Scurit
Pour faire une application scurise, vous devez d'abord prciser ce que scurit veut dire.
L'OWASP vous recommande d'utiliser son guide Application Security Verification Standard (ASVS)
pour dfinir les exigences de scurit de vos applications. En cas de sous-traitance, l'annexe
OWASP Secure Software Contract Annex est conseille.
Il est trs difficile d'crire des contrles de scurit robustes et comprhensibles la fois.
L'OWASP vous conseille d'utiliser le projet OWASP Enterprise Security API (ESAPI) comme
template pour la scurisation des interfaces de vos applications web. L'ensemble des contrles
standards qu'il contient facilitera grandement votre dveloppement d'applications en Java, .NET,
PHP, Classic ASP, Python et ColdFusion.
L'OWASP recommande le Modle OWASP Software Assurance Maturity Model (SAMM), qui
permet aux organisations de dfinir et de mettre en uvre une Stratgie de Scurit adapte
leurs risques spcifiques, amliorant ainsi leur processus de ralisation d'applications scurises.
Le projet OWASP Education Project fournit un grand nombre de cours pour former au
dveloppement d'applications scurises, de mme qu'une collection de prsentations OWASP
Education Presentations. Pour vous entraner chercher des vulnrabilits, attaquez le serveur
OWASP WebGoat ! Enfin, pour vous tenir inform, participez une OWASP AppSec Conference,
ou une runion de votre chapitre OWASP local.
Il y a beaucoup d'autres ressources OWASP disponibles. Merci de consulter la page OWASP projects page, qui liste lensemble des
projets OWASP, classs par niveau de qualit (alpha, bta, ou release).La plupart des ressources OWASP sont disponibles sur
notre wiki, et de nombreux documents peuvent tre commands sous une forme imprime.
+V
Soyez organis
Pour valider la scurit d'une application que vous dveloppez ou que vous envisagez d'acheter, l'OWASP vous recommande de
contrler son code source (si il est disponible), mais aussi de lui faire passer un test de pntration. L'OWASP vous conseille
d'ailleurs d'appliquer les deux techniques aussi souvent que ncessaire : tant complmentaires, leur synergie vous offrira un
rsultat suprieur leurs points forts respectifs. Pour un analyste expriment, les outils d'aide la validation peuvent amliorer
son efficacit et la pertinence de ses rsultats. Les outils d'valuation de l'OWASP sont focaliss sur la manire d'aider les experts
chercher plus efficacement, plutt que de pousser l'automatisation de l'analyse elle-mme.
Normalisez comment vous vrifiez la Scurit Applicative Web: l'OWASP a ralis la mthode de validation Application Security
Verification Standard (ASVS) pour aider les entreprises amliorer la cohrence et la rigueur de leurs valuations de Scurit
des Applications Web : ce document dfinit une mthode standard minimale de validation de la Scurit pour la conduite de ces
valuations . L'OWASP vous recommande d'utiliser ASVS comme guide pour savoir ce quil faut rechercher lors de la vrification
de la Scurit d'une Application Web, mais aussi quelles sont les techniques les plus appropries au besoin, et comment choisir
et dfinir le niveau d'exigence lors de la vrification de la Scurit d'une Application Web. L'OWASP vous recommande
galement d'utiliser ASVS pour vous aider dfinir et choisir les options des services en ligne de demande d'valuation que vous
pourriez contracter auprs d'un fournisseur tiers.
Organisez-vous
Outils d'valuation: Le projet Live CD de l'OWASP a runi certains des meilleurs outils de scurit Open Source dans un
environnement bootable unique. Les dveloppeurs web, testeurs et professionnels de la scurit peuvent booter sur ce CD Live
et avoir immdiatement accs une gamme complte de tests de scurit. Aucune installation ou configuration n'est ncessaire
pour utiliser les outils fournis sur ce CD.
Audit de Code
+O
Premire
Etape
Faire un
Inventaire
Orient
Risque
Permettre
une
Base
Solide
Intgrer la
Scurit
dans les
Process
Existants
Offrir de la
Visibilt
de Gestion
Dfinissez un recueil de directives et de standards, qui sera le rfrentiel de Scurit auquel devront
adhrer toutes les quipes de dveloppement.
Associez-y un ensemble de contrles de Scurit rutilisables, et fournissez la documentation qui
explique comment les utiliser pendant le design et le dveloppement.
Dfinissez un cursus de formation obligatoire la Scurit des Applications, qui sera adapt aux
diffrents rles et domaines des mtiers du dveloppement.
Managez grce aux mtriques. Dcidez des volutions et des activits de fond en fonction des retours
terrain et de leur analyse. Par exemple, le respect des consignes et des tches de scurit, les
vulnrabilits introduites et rsolues, la couverture des applications, etc...
Analysez les remontes du dveloppement et de la validation pour identifier la cause des problmes
et la raison des vulnrabilits, dans le but de lancer des amliorations dans l'entreprise, tant sur le
plan stratgique qu'organisationnel.
+R
Agents de Menace
__________
Vulnrabilit
de scurit
Vecteurs
dattaque
Impacts
technique
Exploitabilit
MOYENNE
Frquence
TRES REPANDUE
Detection
FACILE
Impact
MODERE
Impacts
mtier
__________
+F
RISQUE
Elments
Menaants
Vecteurs
dAttaque
Exploitabilit
Impacts
Techniques
Faille de
Scurit
Prdominance
Dtection
Impact
FACILE
COMMUNE
DIFFICILE
SEVERE
A2-XSS
DIFFICILE
TRES REPANDUE
FACILE
MODERE
A3-Authent
DIFFICILE
COMMUNE
DIFFICILE
SEVERE
A4-DOR
FACILE
COMMUNE
FACILE
MODERE
A5-CSRF
DIFFICILE
REPANDUE
FACILE
MODERE
A6-Config
FACILE
COMMUNE
FACILE
MODERE
A7-Crypto
MOYENNE
PEU COMMUNE
MOYENNE
SEVERE
A8-Accs URL
FACILE
PEU COMMUNE
DIFFICILE
MODERE
A9-Transport
MOYENNE
FACILE
MODERE
FACILE
MODERE
A1-Injection
A10-Redirections
DIFFICILE
COMMUNE
PEU COMMUNE
Impacts
Mtier
LOpen Web Application Security Project (OWASP) est une communaut mondiale libre et ouverte focalise sur
l'amlioration de la scurit des applications logicielles. Notre mission est de rendre la scurit des applications "visible",
pour que les particuliers et les entreprises puissent prendre des dcisions tenant compte des risques de scurit lis aux
applications. Chacun est libre de participer l'OWASP et toutes nos ressources sont disponibles sous licence libre et
gratuite. La fondation OWASP est une association but non lucratif de type 501c3 qui garantit la disponibilit future et
le support de nos travaux.