Académique Documents
Professionnel Documents
Culture Documents
Risques Définitions
Les risques d'injection SQL (SQLi) se
Injection manifestent lorsque des attaquants
insèrent du code SQL malveillant dans les
champs de saisie des données, exploitant
ainsi des vulnérabilités dans les requêtes
SQL.
CROSS SITE SCRIPTING Correspond au XSS soit l’injection de
contenu dans une page, ce qui
(XSS) provoque des actions non désirées
sur une page Web. Les failles XSS
sont particulièrement répandues
parmi les failles de sécurités Web.
Broken Authentication Les problèmes liés à l'authentification
et à la gestion des sessions peuvent
and Session Management conduire à des vulnérabilités telles
que le vol de session, l'accès non
autorisé, etc
Exposition de Données Les applications web qui sont
incapables d'assurer la protection des
Sensibles (Sensitive Data données sensibles sont souvent la
Exposure) : cible des pirates informatiques. En
effet, les pirates accèdent facilement
à ces données puis les revendent à
des fins malveillantes.
Pour réduire les risques d'exposition
aux données sensibles (mot de passe,
informations financières…), l'une des
méthodes les plus efficaces consiste
à crypter toutes les données et à
désactiver la mise en cache.
Une attaque par entité externe XML
XML External Entity est un type d'attaque contre une
(XXE) Processing application qui analyse des données
XML. Cette attaque se produit
lorsque l'entrée XML contenant une
référence à une entité externe est
traitée par un analyseur XML
faiblement configuré. Cette attaque
peut entraîner la divulgation de
données confidentielles, un déni de
service, une falsification des requêtes
côté serveur, un balayage des ports
du point de vue de la machine où se
trouve l'analyseur, ainsi que d'autres
impacts sur le système.
INSECURE DATA Correspond aux failles de sécurité des
identifiants (ID) de données
visualisées. Nécessite de mettre en
place un contrôle d’accès aux
données.
Security misconfiguration Correspond aux failles de
configuration liés aux serveurs Web,
applications, base de données ou
framework.
Using Components with L'utilisation de composants logiciels
obsolètes ou vulnérables peut
Known Vulnerabilities: exposer l'application à des risques de
sécurité.
MISSING FUNCTION LEVEL Correspond aux failles de sécurité
liées aux accès non souhaitables à
ACCESS CONTROL une fonctionnalité.
UNVALIDATED REDIRECTS Cette vulnérabilité se produit lorsque
des applications Web redirigent ou
AND FORWARDS renvoient les utilisateurs vers
d'autres pages sans valider ou
authentifier correctement la
destination. Les attaquants peuvent
exploiter cela en manipulant les
paramètres de redirection ou de
renvoi pour diriger les utilisateurs
vers des sites malveillants.
Conclusion :
En résumé, l'Open Web Application Security Project (OWASP) émerge comme
une ressource indispensable dans le domaine de la sécurité des applications
web. En se focalisant sur la sensibilisation, l'éducation et la mise à disposition
d'outils concrets, OWASP a joué un rôle central dans la promotion des
meilleures pratiques de sécurité à chaque étape du cycle de vie du
développement logiciel.
Références :
https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing
https://www.jedha.co/formation-cybersecurite/owasp-top-
10#:~:text=en%20quelques%20heures-
,OWASP%20Top%2010%20%3A%20l%27organisation%20et%20la%20définition%20du%20classe
ment,de%20la%20sécurité%20du%20logiciel.
https://www.reseaucerta.org/sites/default/files/owasp-presentation-v1.1.pdf(ref1).