OWASP Top Ten 2013 - ossir.org .OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

  • View
    212

  • Download
    0

Embed Size (px)

Text of OWASP Top Ten 2013 - ossir.org .OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

OWASP Top Ten 2013Les dix risques de scurit applicatifs Web les plus critiques

14 janvier 2014 1OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

OSSIR Paris / 14 janvier 2014Guillaume Lopes Consultant Scurit

Guillaume.Lopes@Intrinsec.com

Qui suis-je ?

Guillaume Lopes

Consultant Scurit

Tests dintrusion

Audits (architecture, configuration et organisationnel)

OWASP addict depuis 2008

OWASP Testing Guide et Top Ten

Participation la traduction franaise de lOWASP Top Ten 2013

Intrinsec : acteur historique de la scurit des SI (1995)

Hbergement et infogrance des SI

Scurit de linformation

Pentest / Audit / Conseil / SOC

14 janvier 2014 2OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

A propos de lOWASP Top Ten

LOWASP Top Ten est un document de sensibilisation

Il ne sagit pas dun standard / checklist / norme / etc.

Mme sil est rfrenc par de nombreuses normes ou organisations

MITRE, PCI DSS, DISA, etc.

La premire version date de 2003

Les versions 2004 et 2007 sont des mises jour mineures

La version 2010 a t compltement rorganise afin de parler de risques et non de vulnrabilits

La version 2013 est une mise jour mineure

Cette version reste dans la continuit de la version 2010

14 janvier 2014 3OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

A qui sadresse ce document ?

Ce document a pour objectif de sensibiliser sur les 10 risques les plus critiques rencontrs sur des applications Web

Le public concern est vari

Dveloppeurs

Designers

Architectes

Managers

Dcideurs

Auditeurs

14 janvier 2014 4OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Comment est conu le Top Ten ?

Le Top Ten se base sur les statistiques de vulnrabilits des organisations suivantes

Aspect Security

HP (Fortify and WebInspect)

Minded Security

Softtek

Trustwave SpiderLabs

Veracode

WhiteHat Security

En chiffres

+ 500 000 vulnrabilits

+ 100 organisations

+ 1000 applications Web

14 janvier 2014 5OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Comment est conu le Top Ten ?

Les donnes 2011/2012 du MITRE ntaient pas disponibles lors de la parution de la version 2013 de lOWASP Top Ten

La dmarche de cration du Top Ten 2013 est prsente

www.owasp.org/index.php/Top_10_2013/ProjectMethodology

Si vous souhaitez fournir des statistiques, vous pouvez contacter Dave Wichers (dave.wichers@owasp.org)

14 janvier 2014 6OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Diffrences entre 2010 et 2013

1 risque a t ajout

A9 Utilisation de composants avec des vulnrabilits connues

Ce problme tait mentionn dans le risque A6 Mauvaise configuration de scurit de la version 2010

2 risques ont t fusionns

A7 Stockage cryptographique non scuris

A9 Protection insuffisante de la couche de transport

Ces risques deviennent A6 Exposition de donnes sensibles

1 risque a t largi

A8 Manque de restriction daccs une URL devient A7 Manque de contrle daccs au niveau fonctionnel

7 risques ont t rorganiss

14 janvier 2014 7OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Diffrences entre 2010 et 2013

14 janvier 2014 8OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

OWASP Top 10 2010(Prcdent)

OWASP Top 10 2013 (Nouveau)

2010-A1 Injection 2013-A1 Injection

2010-A2 Cross Site Scripting (XSS)2013-A2 Violation de gestion dauthentification et de session

2010-A3 Violation de gestion dauthentification et de session

2013-A3 Cross Site Scripting (XSS)

2010-A4 Rfrences directes non scurises un objet 2013-A4 Rfrences directes non scurises un objet

2010-A5 Falsification de requte intersites (CSRF) 2013-A5 Mauvaise configuration scurit

2010-A6 Mauvaise configuration scurit 2013-A6 Exposition de donnes sensibles

2010-A7 Stockage cryptographique non scuris 2013-A7 Manque de contrle daccs au niveau fonctionnel

2010-A8 Manque de restriction daccs une URL 2013-A8 Falsification de requte intersites (CSRF)

2010-A9 Protection insuffisante de la couche de transport2013-A9 Utilisation de composants avec des vulnrabilitsconnues (Nouveau)

2010-A10 Redirections et renvois non valids (Nouveau) 2013-A10 Redirections et renvois non valids

Evolution de lOWASP Top Ten

Une comparaison des diffrentes versions de lOWASP Top Ten a t ralise par Christian Heinrich

https://github.com/cmlh/OWASP-Top-Ten-2013/

14 janvier 2014 9OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Prsentation des risques

Chaque risque dfini dans lOWASP Top Ten est prsent en 5 parties

Le niveau de risque selon

Lexploitabilit, la prvalence et la dtection de la vulnrabilit

Les agents de menace et les impacts mtier sont dterminer au cas par cas

Suis-je vulnrable ?

Fournit des indicateurs sur les moyens didentifier les vulnrabilits associes

Comment sen prmunir ?

Indique comment se protger des vulnrabilits associes

Exemples de scnarios dattaque

Rfrences

propres lOWASP ou externes

14 janvier 2014 10OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

Prsentation des risques

14 janvier 2014 11OSSIR - OWASP Top Ten 2013 par Intrinsec

sous licence CC-BY-NC-ND

A1 - Injection

14 janvier 2014 12

Linjection consiste envoyer des donnes non prvues une application afin de dtourner le comportement attendu

Il existe diffrents types dinjections

Injection SQL / LDAP / Xpath / NoSQL / XML / SMTP / OS /

Aujourdhui, linjection SQL reste la vulnrabilit la plus rencontre et la plus critique

De nombreuses applications sont vulnrables

Les dveloppeurs ne sont pas assez sensibiliss ou se reposent sur des solutions tierces non valides (bibliothques externes, WAF, etc.)

Impact

Accs complet en lecture / criture la base de donnes

Voire compromission de lquipement

OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

A1 - Injection

14 janvier 2014 13

Recommandations

Il est prfrable dutiliser une API fournissant une interface paramtrable, notamment

Requtes paramtres

Procdures stockes

En labsence dAPI paramtrable, il est recommand dchapper les caractres spciaux

Si possible effectuer une validation par whitelist des donnes utilisateurs

Restreindre les privilges de la base de donnes

Plus dinformations

www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

A2 Violation de gestion dauthentification et de session

14 janvier 2014 14

Ce risque couvre diffrents aspects

Lidentifiant de session de lutilisateur

Les fonctionnalits de gestion de compte (oubli du mot de passe, etc.)

Le transport des informations dauthentification ou de session sur des canaux non chiffrs

Les vulnrabilits souvent rencontres

Identifiant de session prdictible (cookie = login utilisateur)

Identifiant de session transitant dans lURL

Authentification ou envoi du cookie de session sur flux HTTP

Stockage des mots de passe des utilisateurs en clair

Fonctionnalit de rcupration de mot de passe vulnrable

Il suffit de fournir le login de lutilisateur pour changer de mot de passe

La question secrte est trop faible

OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

A2 Violation de gestion dauthentification et de session

14 janvier 2014 15

Recommandations

Le processus dauthentification doit tre simple, centralis et standardis

Utiliser les mcanismes standards de gestion de session des langages slectionns

Il ne faut pas rinventer la roue

Assurer la confidentialit des identifiants de session et de connexion de lutilisateur (SSL / TLS)

Il faut chiffrer lensemble des communications

Valider les fonctionnalits relatives au processus dauthentification

Stocker les mots de passe des utilisateurs de manire non rversible

Se prmunir contre les failles XSS

Plus dinformations

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

A3 Cross Site Scripting (XSS)

14 janvier 2014 16

Avec linjection SQL, le XSS est la faille la plus rpandue dans les applications Web

Quasiment toutes les applications testes possdent au moins un paramtre vulnrable au XSS

Un XSS permet dexcuter du code (JavaScript ou HTML) dans le contexte du navigateur de lutilisateur

Li un mauvais filtrage des entres utilisateur de lapplication

Deux grands types de XSS

Reflected : Lattaque seffectue via lenvoi dun lien forg lutilisateur

Stored : Le code malveillant est dpos directement sur lapplication et excut lorsquun utilisateur visualise la page

OSSIR - OWASP