Vidéo: TOP 10 DES VULNÉRABILITÉS WEB EN 2017 [OWASP] 2025
Les systèmes Web contiennent de nombreux composants, notamment le code d'application, les systèmes de gestion de base de données, les systèmes d'exploitation et le logiciel serveur Web lui-même. Ces composants peuvent, individuellement et collectivement, présenter des défauts de conception ou de mise en œuvre de sécurité. Certains des défauts présents incluent ceux-ci:
- Ne pas bloquer les attaques par injection. Des attaques telles que l'injection JavaScript et l'injection SQL peuvent permettre à un attaquant de provoquer un dysfonctionnement d'une application Web et d'exposer des données sensibles stockées en interne.
- Authentification défectueuse. Il existe de nombreuses façons pour un site Web de mettre en œuvre l'authentification - elles sont trop nombreuses pour être répertoriées ici. L'authentification est essentielle pour bien faire les choses. de nombreux sites ne parviennent pas à le faire.
- Gestion de session défectueuse. Les serveurs Web créent des «sessions» logiques pour suivre les utilisateurs individuels. Les mécanismes de gestion de session de nombreux sites Web sont vulnérables aux abus, notamment ceux qui permettent à un attaquant de prendre le contrôle de la session d'un autre utilisateur.
- Échec de blocage des attaques de script entre sites. Sites Web qui ne parviennent pas à examiner et à nettoyer les données d'entrée. En conséquence, les attaquants peuvent parfois créer des attaques qui envoient du contenu malveillant à l'utilisateur.
- Impossibilité de bloquer les attaques de falsification de requêtes intersites. Les sites Web qui n'utilisent pas correctement la gestion de contexte de session et de session peuvent être vulnérables aux attaques dans lesquelles les utilisateurs sont amenés à envoyer des commandes à des sites Web susceptibles de leur porter préjudice.
Par exemple, un attaquant pousse un utilisateur à cliquer sur un lien qui amène l'utilisateur à une URL comme celle-ci:
// bank. com / transfert? tohackeraccount: montant = 99999. 99. - Défaut de protéger les références d'objets directs. Les sites Web peuvent parfois être trompés pour accéder et envoyer des données à un utilisateur qui n'est pas autorisé à les voir ou à les modifier.
Ces vulnérabilités peuvent être atténuées de trois façons:
- Formation des développeurs sur les techniques de développement de logiciels plus sûrs
- Inclusion de la sécurité dans le cycle de développement
- Utilisation de l'application dynamique et statique outils d'analyse
