Vidéos

John commence par expliquer ce qu’est le Top 10 de l’OWASP. Il met en évidence des thèmes tels que la réorientation des risques autour des symptômes et des causes profondes, les nouvelles catégories de risques et les architectures d’applications modernes. Restez avec nous pour regarder une vidéo sur chacun des 10 risques majeurs.

94 % des applications testées présentaient une forme de contrôle d’accès défectueux. Les défaillances peuvent entraîner la divulgation non autorisée de données, leur modification ou leur destruction, ainsi qu’une escalade des privilèges, dont les conséquences potentielles sont nombreuses : prise de contrôle de comptes (ATO), violation de données, amendes et dégradation de l’image de marque.

Les défaillances cryptographiques, précédemment connues sous le nom d’« exposition de données sensibles », entraînent l’exposition de données sensibles et le détournement de sessions utilisateur. Malgré l’adoption généralisée de TLS 1.3, des protocoles anciens et vulnérables sont encore utilisés.

L’injection représente une vaste catégorie de vecteurs d’attaque dans laquelle une entrée non fiable modifie l’exécution du programme de l’application. Cela peut conduire à un vol de données, à une perte d’intégrité des données, à un déni de service et à une compromission complète du système. L’injection n’est plus le risque principal, mais elle reste redoutable.

La sécurité doit être inhérente aux applications. Une conception sécurisée peut néanmoins présenter des défauts de mise en œuvre qui conduisent à des vulnérabilités. Une conception non sécurisée ne peut être corrigée par une mise en œuvre parfaite.

La mauvaise configuration de la sécurité est une source majeure de violations du cloud. Apprenez ce qu’il faut faire et éviter, car le développement d’applications modernes, la réutilisation des logiciels et l’expansion des architectures sur plusieurs clouds augmentent ce risque.

Les exploits de logiciels open source sont à l’origine d’une large part des incidents de sécurité les plus graves. La récente vulnérabilité de Log4j2 représente peut-être le risque le plus grave dans cette catégorie à ce jour.

Il est essentiel de confirmer l’identité et d’utiliser l’authentification forte et la gestion des sessions pour se protéger contre les abus visant la logique métier. La plupart des attaques d’authentification sont dues à la poursuite de l’utilisation de mots de passe. Les informations d’identification compromises, les réseaux de zombies et les outils sophistiqués offrent un retour sur investissement alléchant aux attaques automatisées telles que le bourrage d’identifiants.

Cette nouvelle catégorie de risque se concentre sur la formulation d’hypothèses relatives aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérification de l’intégrité. L’attaque de la chaîne d’approvisionnement SolarWinds est l’une des plus lourdes de conséquences que nous ayons vues.