Le remaniement de la liste 2021 de l'OWASP : un nouveau plan de bataille et un ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Les attaques par injection, tristement célèbre roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'une violation du contrôle d'accès, en tant que pire des pires, et les développeurs doivent en tenir compte.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles on pouvait compter : le soleil se lève le matin et se couche à nouveau le soir, Mario fait toujours plus froid que Sonic the Hedgehog et les attaques par injection occuperont toujours la première place du classement de l'Open Web Application Security Project (OWASP) des top 10 des plus courants et de dangereuses vulnérabilités que les attaquants exploitent activement.
Eh bien, le soleil se lèvera demain, et Mario a toujours un avantage sur Sonic, mais les attaques par injection ont perdu la première place de la tristement célèbre liste OWASP, actualisée en 2021. L'une des formes d'attaques les plus anciennes, vulnérabilités liées à l'injection existent depuis presque aussi longtemps que les réseaux informatiques. Cette vulnérabilité globale est responsable d'un large éventail d'attaques, y compris des attaques traditionnelles Injections SQL aux exploits lancés contre les bibliothèques de navigation Object Graph (OGNL). Cela inclut même des attaques directes contre des serveurs utilisant Techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants, sans parler du nombre de sites susceptibles d'être attaqués, a maintenu cette catégorie au premier rang pendant de nombreuses années.
Mais le roi des injections est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème de vulnérabilité lié à l'injection ? Aucune chance. Il n'est pas loin de sa position d'ennemi de sécurité numéro un, mais il est redescendu à la troisième place de la liste OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car cela montre à quel point le nouveau top dog OWASP est réellement répandu et pourquoi les développeurs doivent y porter une attention particulière à l'avenir.
La chose la plus intéressante, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte importante, avec de toutes nouvelles catégories faisant leur apparition : conception non sécurisée, défaillances de l'intégrité des logiciels et des données, et une entrée basée sur les résultats d'une enquête communautaire : Server-Side Request Forgery. Cela indique que l'accent est de plus en plus mis sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour devenir la référence en matière de sécurité logicielle.
Le contrôle d'accès défaillant remporte la victoire (et révèle une tendance)
Le contrôle d'accès défectueux est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse car elles permettent collectivement des dommages sur de multiples fronts. Cette catégorie inclut tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de violation du contrôle d'accès cités par l'OWASP pour hisser cette famille de vulnérabilités au premier rang, citons celles qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Ils peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API pense qu'ils sont quelqu'un d'autre, par exemple un administrateur doté de privilèges plus élevés. Il inclut même des vulnérabilités qui empêchent les attaquants de modifier les métadonnées, ce qui leur permet de modifier des éléments tels que les jetons Web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par les attaquants pour contourner un fichier ou un objet autorisations, leur permet de voler des données ou même d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. Cela rend le contrôle d'accès défaillant extrêmement dangereux en plus d'être de plus en plus courant.
Il est assez convaincant, mais pas surprenant, que les vulnérabilités liées à l'authentification et au contrôle d'accès soient en train de devenir le terrain le plus fertile à exploiter pour les attaquants. Les dernières nouvelles de Verizon Rapport d'enquête sur les violations de données révèle que les problèmes de contrôle d'accès sont courants dans presque tous les secteurs, en particulier l'informatique et la santé, et que 85 % de toutes les violations impliquaient un élément humain. Désormais, l' « élément humain » couvre des incidents tels que les attaques de phishing, qui ne constituent pas un problème d'ingénierie, mais 3 % des violations impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et provoquées par des erreurs humaines, comme une mauvaise configuration de la sécurité.
Alors que ces bogues de sécurité décrépis tels que l'injection XSS et SQL continuent d'embrouiller les développeurs, il est de plus en plus évident que la conception de la sécurité de base échoue, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur malveillant, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème, c'est que peu d'ingénieurs bénéficient d'une formation et d'un développement de compétences allant au-delà des notions de base, et qu'ils sont encore moins nombreux à voir leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés au niveau du code qui sont généralement introduits par les développeurs.
Prévenir les bugs que les robots détectent rarement
La nouvelle famille de vulnérabilités liées au contrôle d'accès non fonctionnel est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès cassés et comment les arrêter notre chaîne YouTube et notre bloguer.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié et englobe un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faille détectée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés contenus dans l'arsenal. Alors que la majeure partie du Top 10 de l'OWASP est toujours compilée sur la base de données de numérisation, de nouvelles entrées concernant des problèmes de conception et d'intégrité des données, entre autres, montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour atteindre ce que les robots ne peuvent pas atteindre.
En termes simples, les scanners de sécurité ne sont pas de bons modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut apporter une aide incommensurable à l'équipe AppSec en développant son QI en matière de sécurité conformément aux meilleures pratiques et aux besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, étant entendu que si le Top 10 de l'OWASP constitue une excellente base de référence, le paysage des menaces évolue si rapidement (sans parler des exigences liées aux objectifs de développement internes) qu'il doit exister un plan visant à approfondir et à préciser les compétences des développeurs en matière de sécurité. Ne pas le faire se traduira inévitablement par des occasions manquées de remédier rapidement à la situation et entravera la mise en place d'une approche holistique efficace de la cybersécurité préventive dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Démarrez vos développeurs sur un parcours de compétences de sécurité élevées aujourd'hui.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
