Le remaniement de la liste 2021 de l'OWASP : un nouveau plan de bataille et un ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
