Minute RGPD : Top 10 OWASP 2023
L’Open Web Application Security Project, ou OWASP, est une organisation internationale à but non lucratif qui se consacre à la sécurité des applications web. Aujourd’hui, nous allons explorer les dix principales menaces qu’elle a identifiées en 2023 pour la cybersécurité.
- Défaillance de l’autorisation au niveau de l’objet :
En termes simples, cette défaillance concerne les autorisations d’entités spécifiques – par exemples celles des utilisateurs, des fichiers ou des transactions. Les API (Interfaces de Programmation Applicatives) peuvent présenter des faiblesses qui rendent possible, pour des attaquants, de modifier les identifiants d’objets.
- Défaillance de l’authentification :
C’est une mauvaise mise en œuvre de l’authentification, laissant les attaquants compromettre les jetons d’authentification et usurper les identités des utilisateurs.
- Défaillance de l’autorisation au niveau de la propriété de l’objet :
C’est une validation insuffisante de l’autorisation au niveau des propriétés d’objets qui peut conduire à l’exposition ou à la manipulation d’informations par des tiers non autorisés.
- Consommation de ressources illimitée :
Cela concerne les attaques réussies entraînant un déni de service ou des coûts opérationnels élevés en raison de la consommation non restreinte de ressources.
- Défaillance de l’autorisation au niveau de la fonction :
Des politiques de contrôle d’accès complexes peuvent entrainer des erreurs d’autorisation, permettant aux attaquants d’accéder aux ressources d’autres utilisateurs.
- Accès illimité aux flux d’activité sensibles :
L’exposition de flux métier sans protection est potentiellement nuisible à l’entreprise si son utilisation est excessive et de manière automatisée.
- Vulnérabilité côté serveur de type SSRF :
la SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de convaincre un serveur de faire des requêtes vers des emplacements spécifiques, souvent externes au réseau sécurisé.
- Mauvaise configuration de la sécurité :
Des configurations complexes, mal gérées ouvrent la porte à différents types d’attaques.
- Mauvaise gestion des actifs :
Le manque de documentation adéquate sur les API expose un risque supplémentaire lié à la divulgation involontaire d’informations sensibles à travers des points finaux de débogage dans le code source.
- Utilisation non sécurisée des API :
Une confiance excessive dans les données d’API tierces, expose les API à des attaques ciblant les services tiers intégrés.
Ce Top 10 de l’OWASP constitue une référence et comprendre ces risques est essentiel pour renforcer la sécurité de vos applications et protéger vos données. Former le personnel sur les bonnes pratiques de sécurité, ainsi que la réalisation de tests de sécurité réguliers, sont des mesures cruciales pour assurer une amélioration continue de la sécurité de vos applications.
Restons en contact pour plus d’informations !
Pour d’autres formations : cliquez-ici