Le remaniement de la liste 2021 de l'OWASP : un nouveau plan de bataille et un ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
