Remaniement de la liste 2021 de l'OWASP : Un nouveau plan de bataille et un nouvel ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Les attaques par injection, le fameux roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'un contrôle d'accès défaillant en tant que pire des pires, et les développeurs doivent s'en rendre compte.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Il est notoirement difficile de trouver des données significatives sur le succès des initiatives Secure-by-Design. Les RSSI sont souvent confrontés à des difficultés lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise. De plus, il est particulièrement difficile pour les entreprises d'obtenir des informations sur la façon dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a mis les parties prenantes au défi d'"adopter la sécurité et la résilience dès la conception". Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de sources primaires multiples, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur des données, et des études publiques. En nous appuyant sur cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives Secure-by-Design dans de multiples secteurs verticaux. Le rapport explique en détail pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de perfectionnement réussi peut avoir sur l'atténuation des risques de cybersécurité, et le potentiel d'élimination des catégories de vulnérabilités d'une base de code.
Passez de la sensibilisation à l'action en ce mois de la cyber-sensibilisation
En octobre, passez de la sensibilisation à l'action. Rendez le Mois de la sensibilisation à la cybernétique mémorable pour vos développeurs grâce à une expérience à fort impact et à forte participation, dirigée par l'équipe des services professionnels de Secure Code Warrior.
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Ressources pour vous aider à démarrer
Vibe Coding va-t-il transformer votre base de code en une fête de fraternité ?
Le codage vibratoire est comme une fête de fraternité universitaire, et l'IA est la pièce maîtresse de toutes les festivités, le tonneau. C'est très amusant de se laisser aller, d'être créatif et de voir où votre imagination peut vous mener, mais après quelques barils, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
