Qu'est-ce que l'OWASP et le Top 10 de l'OWASP ?
Publié: 2020-08-07L'Open Web Application Security Project (OWASP) est une fondation à but non lucratif qui s'efforce d'améliorer la sécurité des logiciels. Le Top 10 OWASP est un document de sensibilisation standard pour les développeurs et la sécurité des applications Web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web.
Les 10 principaux risques de sécurité des applications Web de l'OWASP
1. Injection
Une faille d' injection pourrait permettre à un attaquant d'injecter du code malveillant dans votre base de données WordPress. Le code de l'attaquant peut amener WordPress ou votre serveur à exécuter des commandes sans autorisation appropriée. Le code malveillant peut faire n'importe quoi, de l'exportation d'une liste des utilisateurs du site Web à la suppression de tables dans votre base de données.
La prévention
Séparer les données des commandes et des requêtes peut aider à prévenir les vulnérabilités d'injection.
2. Authentification brisée
Une vulnérabilité Broken Authentication peut permettre à un attaquant de compromettre les mots de passe, les clés ou les jetons de session d'un utilisateur ou d'un utilisateur afin de prendre le contrôle des comptes de l'utilisateur.
La prévention
Vous pouvez aider à protéger votre site Web contre les vulnérabilités d'authentification brisée en utilisant l'authentification à deux facteurs.
Vous pouvez aider à protéger votre site Web contre les vulnérabilités d'authentification brisée en utilisant l'authentification à deux facteurs.
3. Exposition de données sensibles
Les applications et les API qui ne protègent pas correctement contre l' exposition des données sensibles pourraient permettre à un attaquant d'accéder aux numéros de carte de crédit, aux dossiers médicaux ou à d'autres informations personnelles privées.
Les données peuvent être exposées soit lorsqu'elles sont en transit, soit lorsqu'elles sont au repos.
- Un exemple de données en transit est lorsqu'un numéro de carte de crédit est envoyé du navigateur de votre client à la passerelle de paiement de votre site Web.
- Les données au repos signifient qu'elles sont stockées et ne sont pas utilisées. Un exemple de données au repos est votre sauvegarde BackupBuddy stockée dans un emplacement hors site. La sauvegarde restera au repos jusqu'à ce qu'elle soit nécessaire.
La prévention
Vous pouvez installer un certificat SSL pour sécuriser et chiffrer les données en transit et ajouter un chiffrement aux données au repos pour éviter toute exposition.
4. Entités externes XML (XXE)
De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d'entités externes, comme un disque dur, dans les documents XML. Un attaquant peut tromper un analyseur XML pour qu'il transmette des informations sensibles à une entité externe sous son contrôle
La prévention
Le meilleur moyen d'éviter XXE est d'utiliser des formats de données moins complexes tels que JSON et d'éviter la sérialisation des données sensibles.
5. Contrôle d'accès cassé
Une vulnérabilité Broken Access Control permettrait à un attaquant de contourner l'autorisation et d'effectuer des tâches qui seraient généralement limitées aux utilisateurs disposant de privilèges plus élevés, tels qu'un administrateur.
Dans le contexte de WordPress, une vulnérabilité Broken Access Control pourrait permettre à un utilisateur ayant le rôle d'abonné d'effectuer des tâches de niveau administrateur telles que l'ajout/suppression de plugins et d'utilisateurs.
La prévention
iThemes Security Pro peut aider à protéger votre site Web contre le contrôle d'accès brisé en limitant l'accès administrateur à une liste d'appareils de confiance.
Une vulnérabilité Broken Access Control permettrait à un attaquant de contourner l'autorisation et d'effectuer des tâches qui seraient généralement limitées aux utilisateurs disposant de privilèges plus élevés, tels qu'un administrateur.
6. Mauvaise configuration de la sécurité
La mauvaise configuration de la sécurité est le problème le plus courant de la liste. Ce type de vulnérabilité est généralement le résultat de configurations par défaut non sécurisées, de messages d'erreur trop descriptifs et d'en-têtes HTTP mal configurés.
La prévention
Les problèmes de mauvaise configuration de la sécurité peuvent être atténués en supprimant toutes les fonctionnalités inutilisées du code, en gardant toutes les bibliothèques à jour et en rendant les messages d'erreur plus généraux.
7. Script inter-sites (XSS)
Une vulnérabilité de type Cross-Site Scripting se produit lorsqu'une application Web permet aux utilisateurs d'ajouter du code personnalisé dans le chemin d'URL. Un attaquant peut exploiter la vulnérabilité pour exécuter un code malveillant dans le navigateur Web de la victime, créer une redirection vers un site Web malveillant ou détourner une session utilisateur.
La prévention
La fonction Appareils de confiance iThemes Security Pro peut aider à se protéger contre le piratage de session en vérifiant que l'appareil d'un utilisateur ne change pas au cours d'une session.
La fonction Appareils de confiance iThemes Security Pro peut aider à se protéger contre le piratage de session en vérifiant que l'appareil d'un utilisateur ne change pas au cours d'une session.
8. Désérialisation non sécurisée
La sérialisation convertit les objets du code d'une application dans un format pouvant être restauré ultérieurement, comme l'exportation de vos paramètres iThemes Security Pro vers un fichier JSON.
La désérialisation est l'inverse de ce processus, prenant des données structurées dans un certain format et les reconstruisant en un objet. Par exemple, prendre les paramètres iThemes Security Pro que vous avez stockés dans un fichier JSON et les importer sur un nouveau site Web.
Les failles de désérialisation non sécurisées peuvent conduire et conduiront souvent à un exploit d'exécution de code à distance, ce qui peut entraîner des attaques par injection et escalade de privilèges.
La prévention
La seule façon d'atténuer les exploits de désérialisation non sécurisée est de ne pas accepter la sérialisation provenant de sources non fiables.
9. Utilisation de composants avec des vulnérabilités connues
Il est omniprésent pour les développeurs d'utiliser des composants tels que des bibliothèques et des frameworks dans leurs applications. Cela inclut les développeurs de plugins et de thèmes WordPress. Ces bibliothèques et frameworks tiers pourraient introduire des failles de sécurité s'ils ne sont pas correctement mis à jour.
La prévention
Les développeurs peuvent minimiser le risque d' utiliser des composants présentant des vulnérabilités connues en supprimant le code tiers inutilisé et en utilisant uniquement des composants provenant de sources fiables.
10. Journalisation et surveillance insuffisantes
Une journalisation et une surveillance insuffisantes peuvent entraîner un retard dans la détection d'une faille de sécurité. La plupart des études sur les violations montrent que le temps de détection d'une violation est de plus de 200 jours ! Ce laps de temps permet à un attaquant de violer d'autres systèmes, de modifier, de voler ou de détruire davantage de données.
La prévention
Les journaux de sécurité WordPress d'iThemes Security Pro surveillent une multitude d'activités malveillantes et utilisent les informations collectées pour bloquer les attaques et vous alerter en cas de problème.
La plupart des études sur les violations montrent que le délai de détection d'une violation est supérieur à 200 jours !
Ajoutez plus de protection avec l'analyse de site iThemes Security Pro
Dans nos publications bimensuelles Vulnerability Roundup, nous partageons toutes les dernières vulnérabilités de cœur, de plugin et de thème WordPress divulguées. De nombreux plugins et thèmes que nous couvrons dans nos rafles ont des exploits qui figurent dans la liste des 10 meilleurs OWASP.
Le coupable n°1 des sites Web piratés sont les vulnérabilités pour lesquelles un correctif était disponible mais non appliqué. Ajoutez l'analyse de site iThemes Security Pro à votre ceinture d'outils de sécurité WordPress pour protéger votre site Web d'un problème de sécurité connu. Le scanner de site iThemes Security Pro recherche sur votre site les vulnérabilités connues et applique automatiquement un correctif s'il en existe un.
Que votre thème utilise des composants avec des vulnérabilités connues , ou que vous utilisiez un plugin qui a une vulnérabilité connue de Cross-Site Scripting , l'analyse de site iThemes Security Pro est là pour vous.
Que votre thème utilise des composants avec des vulnérabilités connues , ou que vous utilisiez un plugin qui a une vulnérabilité connue de Cross-Site Scripting , l'analyse de site iThemes Security Pro est là pour vous.
Conclusion : Top 10 de l'OWASP
La liste OWASP Top 10 est une excellente ressource pour faire connaître la façon de sécuriser vos applications contre les vulnérabilités de sécurité les plus courantes. Malheureusement, la raison pour laquelle ces vulnérabilités figurent dans la liste des 10 premières est qu'elles sont répandues. L'utilisation d'un plugin de sécurité WordPress comme iThemes Security Pro peut aider à sécuriser et à protéger votre site Web contre bon nombre de ces problèmes de sécurité courants.
Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.
