Sommaire

Les guides et bonnes pratiques

1. OWASP TOP 10

L’Open Web Application Security Project, dont nous avons déjà introduit le projet OpenSAMM, est une organisation à but non lucratif créée en 2011.

Son but est la création de projets autour de la sécurisation des applications web et mobiles.

Présente dans le monde entier, l’organisation est composée de "chapitres" locaux (groupes de travail) regroupés par pays et organisant de façon indépendante des conférences (talks) et projets (projects) sur la sécurité applicative.

Parmi les projets les plus connus, le TOP 10 OWASP a pour but de regrouper les dix vulnérabilités les plus rencontrées sur les applications web. Pour arriver à ce résultat, l’OWASP organise une enquête mondiale sur les différentes vulnérabilités relevées par les contributeurs de l’enquête et ainsi, établit un classement dont les items sont les suivants :

  • injection (SQL, LDAP, Xpath, etc.)

  • violation de gestion d’authentification et de session

  • Cross-Site Scripting (XSS)

  • références directes non sécurisées à un objet

  • mauvaise configuration de sécurité

  • exposition de données sensibles

  • manque de contrôle d’accès au niveau fonctionnel

  • falsification de requête intersite (CSRF)

  • utilisation de composants avec des vulnérabilités connues

  • redirections ...