Le remaniement de la liste 2021 de l'OWASP : un nouveau plan de bataille et un ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
