accueilLogicielsDéveloppement et Qualité LogicielsFailles de sécurité des applications Web
 

Menaces et risques applicatifs


1. Types d’attaques
2. Risques de sécurité
3. Correspondances entre les définitions de l’OWASP et du WASC

Types d’attaques

 Le WASC établie dans son rapport « WASC Threat Classification » une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport.

 La catégorie « authentification » regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application.

 La catégorie « autorisation » couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application.

 La catégorie « attaques côté client » rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application.

 La catégorie « exécution de commandes » englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web.

 La catégorie « révélation d’informations » définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées.

 La catégorie « attaques logiques » caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles.

Risques de sécurité

 Contrairement au WASC qui décrit toutes les attaques possibles sur une application Web, l’OWASP ne traite que les dix plus grands risques de sécurité. Le rapport « OWASP Top 10 » permet ainsi à l’équipe projet de se focaliser sur la protection de l’application Web face aux menaces les plus importantes, ce qui est moins couteux et plus facilement réalisable que d’essayer de se protéger de tous les dangers. L’OWASP établit le classement 2010 ci dessous, dont chacune des failles est développée dans les chapitres suivants :

 Une faille d’injection se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu’élément d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent duper l’interpréteur afin de l’amener à exécuter des commandes inhabituelles ou accéder à des données non autorisées.

 Les failles de Cross-Site Scripting (XSS) se produisent chaque fois qu’une application prend des données non fiables et les envoie à un navigateur Web sans validation. XSS permet à des attaquants d’exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l’utilisateur vers des sites malveillants.

 Les failles de violation de gestion d’authentification et de session se produisent quand les fonctions correspondantes ne sont pas mises en œuvre correctement, permettant aux attaquants de compromettre les mots de passe, clés, jetons de session, ou d’exploiter d’autres failles d’implémentation pour s’approprier les identités d’autres utilisateurs.

 Une faille de référence directe à un objet se produit quand un développeur expose une référence à une variable interne, tel un nom de fichier, de dossier, un enregistrement de base de données, ou une clé de base de données. Sans un contrôle d’accès ou autre protection, les attaquants peuvent manipuler ces références pour accéder à des données non autorisées.

 Une attaque par falsification de requête inter-sites (CSRF) force le navigateur d’une victime authentifiée à envoyer une requête http, comprenant le cookie de session de la victime ainsi que toute autre information automatiquement inclue, à une application web vulnérable. Ceci permet à l’attaquant de forcer le navigateur de la victime à générer des requêtes, l’application vulnérable considérant alors qu’elles émanent légitimement de la victime.

 Une faille due à une mauvaise configuration de sécurité se produit quand les serveurs d’application, serveurs web, serveur de base de données, et la plate-forme n’ont pas de configuration sécurisée correctement établie et déployée. Tous ces paramètres doivent être définis, mis en œuvre, et maintenu. Ceci implique de maintenir tous les logiciels à jour, notamment toutes les bibliothèques de code employées par l’application.

 Une faille de stockage de données non sécurisées se produit quand une application Web ne protège pas correctement les données sensibles, telles que les numéros de cartes de crédit, de sécurité sociale, les informations d’authentification, avec un algorithme de chiffrement ou de hash approprié. Les pirates peuvent voler ou modifier ces données faiblement protégées pour perpétrer un vol d’identité et d’autres crimes, tels que la fraude à la carte de crédit.

 La défaillance dans la restriction des accès à une URL se produit quand une application web ne protège pas l’accès aux URL. Les applications doivent effectuer des contrôles d’accès similaires chaque fois que ces pages sont accédées, sinon les attaquants seront en mesure de forger des URL pour accéder à ces pages cachées.

 La faille de protection de la couche transport se produit quand les applications ne peuvent pas chiffrer et protéger la confidentialité et l’intégrité du trafic réseau sensible. De plus, quand elles le font, elles supportent parfois des algorithmes faibles, utilisent des certificats expirés ou invalides, ou ne les emploient pas correctement.

 Une faille de redirection et renvoie non validés se produit quand une application Web réoriente les utilisateurs vers d’autres pages et sites web, et utilise des données non fiables pour déterminer les pages de destination. Sans validation appropriée, les attaquants peuvent rediriger les victimes vers des sites de phishing ou de logiciel malveillant, ou utiliser les renvois pour accéder à des pages non autorisées.

Correspondances entre les définitions de l’OWASP et du WASC

 Le tableau ci-dessous fait le lien entre les catégories et les attaques définies par le WASC dans le rapport de 2010 et les menaces identifiées par l’OWASP dans le classement de 2010.

PNG - 179.2 ko
Correspondance entre les définitions de l’OWASP et du WASC

 

Retour vers le haut de la page   PDF
Article précédent Page d'accueil Article suivant
< Failles de sécurité Sommaire | Injection >

 

Guillaume HARRY
Envoyer un courriel

 

Contenu sous licence Creative Commons CC-BY-NC-ND


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits