Formations vidéo

Formations en vidéo Top 10 de l’OWASP 2021

Protégez vos applications web contre les risques nouveaux et critiques

Le Top 10 de l’OWASP représente un large consensus sur les risques de sécurité les plus critiques pour les applications web. La mise à jour de 2021 donne des conseils pour aider à sécuriser les applications et architectures web modernes contre les exploits, les abus et les erreurs de configuration, ainsi que des recommandations pour atténuer les nouveaux risques impliquant les chaînes d’approvisionnement logicielles, les pipelines CI/CD et les logiciels open source.

Regardez la série de formations Lightboard Top 10 de l’OWASP 2021 sur F5 DevCentral pour une analyse du nouveau Top 10 de l’OWASP et découvrez :

  • Comment l’OWASP crée sa liste Top 10 des risques de sécurité les plus critiques pour les applications web.
  • Les changements clés pour 2021, notamment les risques recatégorisés pour aligner les symptômes sur les causes profondes.
  • À quel moment chaque risque peut se manifester, pourquoi il est important, et comment améliorer votre posture de sécurité.

L’Open Web Application Security Project (OWASP) est une fondation à but non lucratif qui œuvre à l’amélioration de la sécurité des logiciels. L’OWASP assure la maintenance de nombreux projets, dont le document de sensibilisation Top 10 des risques de sécurité standard des applications web, destiné aux développeurs et aux professionnels de la sécurité.


 

Présentation du Top 10 de l’OWASP

John commence par expliquer ce qu’est le Top 10 de l’OWASP. Il met en évidence des thèmes tels que la réorientation des risques autour des symptômes et des causes profondes, les nouvelles catégories de risques et les architectures d’applications modernes. Restez avec nous pour regarder une vidéo sur chacun des 10 risques majeurs.


Top 10 de l’OWASP 2021 : Contrôle d’accès défaillant

94 % des applications testées présentaient une forme de contrôle d’accès défectueux. Les défaillances peuvent entraîner la divulgation non autorisée de données, leur modification ou leur destruction, ainsi qu’une escalade des privilèges, dont les conséquences potentielles sont nombreuses : prise de contrôle de comptes (ATO), violation de données, amendes et dégradation de l’image de marque.


Top 10 de l’OWASP 2021 : Défaillances cryptographiques

Les défaillances cryptographiques, précédemment connues sous le nom d’« exposition de données sensibles », entraînent l’exposition de données sensibles et le détournement de sessions utilisateur. Malgré l’adoption généralisée de TLS 1.3, des protocoles anciens et vulnérables sont encore utilisés.


Top 10 de l’OWASP 2021 : Injection

L’injection représente une vaste catégorie de vecteurs d’attaque dans laquelle une entrée non fiable modifie l’exécution du programme de l’application. Cela peut conduire à un vol de données, à une perte d’intégrité des données, à un déni de service et à une compromission complète du système. L’injection n’est plus le risque principal, mais elle reste redoutable.


Top 10 de l’OWASP 2021 : Conception non sécurisée

La sécurité doit être inhérente aux applications. Une conception sécurisée peut néanmoins présenter des défauts de mise en œuvre qui conduisent à des vulnérabilités. Une conception non sécurisée ne peut être corrigée par une mise en œuvre parfaite.


Top 10 de l’OWASP 2021 : Mauvaise configuration de la sécurité

La mauvaise configuration de la sécurité est une source majeure de violations du cloud. Apprenez ce qu’il faut faire et éviter, car le développement d’applications modernes, la réutilisation des logiciels et l’expansion des architectures sur plusieurs clouds augmentent ce risque.


Top 10 de l’OWASP 2021 : Composants vulnérables et obsolètes

Les exploits de logiciels open source sont à l’origine d’une large part des incidents de sécurité les plus graves. La récente vulnérabilité de Log4j2 représente peut-être le risque le plus grave dans cette catégorie à ce jour.


Top 10 de l’OWASP 2021 : Défaillances d’identification et d’authentification

Il est essentiel de confirmer l’identité et d’utiliser l’authentification forte et la gestion des sessions pour se protéger contre les abus visant la logique métier. La plupart des attaques d’authentification sont dues à la poursuite de l’utilisation de mots de passe. Les informations d’identification compromises, les réseaux de zombies et les outils sophistiqués offrent un retour sur investissement alléchant aux attaques automatisées telles que le bourrage d’identifiants.


Top 10 de l’OWASP 2021 : Défaillances de l’intégrité des logiciels et des données

Cette nouvelle catégorie de risque se concentre sur la formulation d’hypothèses relatives aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérification de l’intégrité. L’attaque de la chaîne d’approvisionnement SolarWinds est l’une des plus lourdes de conséquences que nous ayons vues.


Top 10 de l’OWASP 2021 : Défaillances de la journalisation et de la surveillance

Si les activités des applications ne sont pas correctement consignées et surveillées, les violations ne peuvent pas être détectées. Cela a un impact direct sur la visibilité, les alertes en cas d’incident et la recherche des causes. Plus il faut de temps pour détecter une attaque, plus le système est susceptible d’être compromis.


Top 10 de l’OWASP 2021 : Création de fausses requêtes côté serveur (SSRF)

Les failles SSRF se produisent lorsqu’une application web va chercher une ressource distante sans valider l’URL fournie par l’utilisateur. Les attaquants peuvent contraindre l’application à envoyer une requête vers une destination inattendue, même si elle est sécurisée par un pare-feu, un VPN ou une autre liste de contrôle d’accès au réseau (ACL).