Le remaniement de la liste 2021 de l'OWASP : un nouveau plan de bataille et un ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
