1/La communauté OWASP :

OWASP (Open Web Application Security project) est une communauté

travaillant sur la sécurité des applications web. Elle a pour but de
recommandations de sécurisation des sites web et propose des outils
permettant de tester la sécurité des applications web.

2/Objectifs et missions de l'OWASP :

L'OWASP est une organisation à but non lucratif qui se concentre sur la sécurité
des applications Web. Ses principales missions incluent :
1. Assurer la Sécurité des Applications Web : L'OWASP vise à identifier,
sensibiliser et atténuer les risques de sécurité auxquels sont confrontées
les applications Web.

2. Garantir la Visibilité de la Sécurité du Logiciel : L'OWASP fournit des

ressources, des normes et des outils pour assurer une visibilité accrue sur
les aspects de sécurité du logiciel, en mettant particulièrement l'accent sur
les applications Web.

3. Fournir des Informations et des Outils : L'OWASP met à disposition de la

communauté des professionnels de la sécurité et des développeurs des
informations actualisées, des guides, des outils open source et des bonnes
pratiques pour améliorer la sécurité des applications Web.

4. Sensibiliser et Éduquer : L'organisation vise à sensibiliser et éduquer les

professionnels de l'informatique, les développeurs et les responsables de
projet aux risques de sécurité associés aux applications Web, favorisant ainsi
une culture de la sécurité.
3/Les 10 plus grands risques d’OWASP :

Risques Définitions
Les risques d'injection SQL (SQLi) se
Injection manifestent lorsque des attaquants
insèrent du code SQL malveillant dans les
champs de saisie des données, exploitant
ainsi des vulnérabilités dans les requêtes
SQL.
CROSS SITE SCRIPTING Correspond au XSS soit l’injection de
contenu dans une page, ce qui
(XSS) provoque des actions non désirées
sur une page Web. Les failles XSS
sont particulièrement répandues
parmi les failles de sécurités Web.
Broken Authentication Les problèmes liés à l'authentification
et à la gestion des sessions peuvent
and Session Management conduire à des vulnérabilités telles
que le vol de session, l'accès non
autorisé, etc
Exposition de Données Les applications web qui sont
incapables d'assurer la protection des
Sensibles (Sensitive Data données sensibles sont souvent la
Exposure) : cible des pirates informatiques. En
effet, les pirates accèdent facilement
à ces données puis les revendent à
des fins malveillantes.
Pour réduire les risques d'exposition
aux données sensibles (mot de passe,
informations financières…), l'une des
méthodes les plus efficaces consiste
à crypter toutes les données et à
désactiver la mise en cache.
 Une attaque par entité externe XML
XML External Entity est un type d'attaque contre une
(XXE) Processing application qui analyse des données
XML. Cette attaque se produit
lorsque l'entrée XML contenant une
référence à une entité externe est
traitée par un analyseur XML
faiblement configuré. Cette attaque
peut entraîner la divulgation de
données confidentielles, un déni de
service, une falsification des requêtes
côté serveur, un balayage des ports
du point de vue de la machine où se
trouve l'analyseur, ainsi que d'autres
impacts sur le système.
INSECURE DATA Correspond aux failles de sécurité des
identifiants (ID) de données
visualisées. Nécessite de mettre en
place un contrôle d’accès aux
données.
Security misconfiguration Correspond aux failles de
configuration liés aux serveurs Web,
applications, base de données ou
framework.
Using Components with L'utilisation de composants logiciels
obsolètes ou vulnérables peut
Known Vulnerabilities: exposer l'application à des risques de
sécurité.
MISSING FUNCTION LEVEL Correspond aux failles de sécurité
liées aux accès non souhaitables à
ACCESS CONTROL une fonctionnalité.
UNVALIDATED REDIRECTS Cette vulnérabilité se produit lorsque
des applications Web redirigent ou
AND FORWARDS renvoient les utilisateurs vers
d'autres pages sans valider ou
authentifier correctement la
destination. Les attaquants peuvent
exploiter cela en manipulant les
paramètres de redirection ou de
 renvoi pour diriger les utilisateurs
vers des sites malveillants.

Conclusion :
En résumé, l'Open Web Application Security Project (OWASP) émerge comme
une ressource indispensable dans le domaine de la sécurité des applications
web. En se focalisant sur la sensibilisation, l'éducation et la mise à disposition
d'outils concrets, OWASP a joué un rôle central dans la promotion des
meilleures pratiques de sécurité à chaque étape du cycle de vie du
développement logiciel.

La publication annuelle des "Top 10 des risques de sécurité des applications

Web" par OWASP offre une boussole essentielle pour les développeurs et les
professionnels de la sécurité, les guidant vers les vulnérabilités les plus
critiques. Cette démarche non seulement informe, mais aussi incite à une
action ciblée pour renforcer la sécurité des applications web et contribuer à la
résilience de l'écosystème numérique.

Références :
https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing

https://www.jedha.co/formation-cybersecurite/owasp-top-
10#:~:text=en%20quelques%20heures-
,OWASP%20Top%2010%20%3A%20l%27organisation%20et%20la%20définition%20du%20classe
ment,de%20la%20sécurité%20du%20logiciel.

https://www.reseaucerta.org/sites/default/files/owasp-presentation-v1.1.pdf(ref1).