Bravo, vous êtes arrivé à la fin de ce cours ! Vous en savez désormais plus sur les différentes vulnérabilités identifiées par l’OWASP.
Vous trouverez ci-dessous un récapitulatif de ces dix vulnérabilités.
OWASP TOP TEN 2021
Les dix principales vulnérabilités web, identifiées par l’OWASP :
Contrôles d’accès défaillants : Les contrôles d’accès permettent d’empêcher un utilisateur d’accéder aux données d’un autre utilisateur. Pour éviter qu’un attaquant puisse exploiter cette vulnérabilité, assurez-vous que toutes les pages de votre application ont un contrôle d’authentification.
Défaillances cryptographiques : Les données non sécurisées peuvent être récupérées lorsqu’elles sont en transit par exemple. L’utilisation de techniques de chiffrement et de pratiques de sécurité peut atténuer ce type d’attaques.
Injection : Elle permet d’injecter du code arbitraire pour effectuer des actions qui seront interprétées par l’application. Pour bloquer ce genre d’attaque, il est possible d’utiliser des fonctions sécurisées ou encore de valider les entrées utilisateurs.
Conception non sécurisée : Elle met en avant les défauts de conception. Une conception non sécurisée ne peut pas être corrigée par une implémentation parfaite car, par définition, les contrôles de sécurité nécessaires pour se défendre contre certaines attaques n’ont jamais été créés.
Mauvaises configurations de sécurité : Elles peuvent être à l’origine de nombreuses attaques. Assurez-vous de garder à jour les composants de votre application pour éviter qu’une vulnérabilité ne soit exploitée.
Composants vulnérables et obsolètes : Une application est basée sur de nombreux composants. Pour éviter l’exploitation d’une vulnérabilité, il faudra maintenir à jour et identifier les éléments de votre application.
Identification et authentification de mauvaise qualité : Beaucoup d’applications exigent qu’un utilisateur se connecte pour arriver sur des pages auxquelles lui seul a accès. L’application est vulnérable à une attaque si un utilisateur malveillant peut obtenir un accès non autorisé aux mots de passe, clés et jetons pour pirater la session d’un autre utilisateur.
Manque d’intégrité des données et du logiciel : Elle se concentre sur les mises à jour logicielles, les données critiques ou encore les pipelines CI/CD. Des risques associés à des plug-ins ou des bibliothèques non à jour existent. L’ancienne catégorie Désérialisation non sécurisée, listée en 2017, est désormais partie intégrante de cette catégorie.
Carence des systèmes de contrôle et de journalisation : Pour garantir la sécurité d’une application, il est nécessaire de surveiller et de monitorer les connexions. De nombreux serveurs vulnérables servent de rebond aux attaquants. La mise en place de monitoring permettra de détecter une anomalie sur le serveur.
Falsification de requête côté serveur : La falsification de requête côté serveur, ou SSRF pour Server-Side Request Forgery, est une faille qui peut se produire dès lors qu’une application web récupère des ressources distantes. Elle permet d’interagir avec le serveur pour en extraire des fichiers ou des ressources internes au serveur.
Maintenant que vous connaissez les fondements de l’OWASP et comment sécuriser vos applications web, il ne vous reste plus qu’à appliquer ce que vous avez appris pour vos futurs développements. Bon développement ! 
