Prise en charge de la nouvelle mise à jour 2017 du Top 10 de l'OWASP

OWASP Top 10 - Mise à jour 2017

Aujourd'hui, l'OWASP a publié la dernière version du Top 10 OWASP - 2017. Cette liste de sécurité des applications est devenue l'une des normes de sécurité les plus importantes disponibles, et je suis ravi de dire que les configurations d'analyse statique pour les outils Parasoft qui prennent en charge la liste 2017 sont déjà disponible sur le forum Parasoft. Nous savons que cette norme est importante pour vous et nous avons travaillé dur pour que vous puissiez commencer tout de suite, aujourd'hui, maintenant!

En savoir plus sur la mise à jour OWASP 2017 ci-dessous.

Présentation du Top 10 OWASP

Depuis de nombreuses années maintenant, le Ouvrir le projet de sécurité des applications Web (OWASP) a été une excellente source d'informations et de formation sur la sécurité des applications. Toutes les quelques années, ils rassemblent les célèbres OWASP Top 10 liste qui présente les problèmes de sécurité actuels importants auxquels sont confrontés les développeurs Web. Au fil du temps, la norme est peut-être devenue le point de départ le plus courant pour les entreprises qui commencent à sécuriser leurs applications Web.

Et pour une bonne raison - le OWASP Top 10 est basé sur plusieurs types d'informations, mis à jour pour refléter les nouveaux risques de sécurité. Une source principale est les informations des entreprises AppSec et une enquête de l'industrie, qui fournit des informations sur les problèmes qui affligent actuellement les organisations dans le monde réel. Certains des nouveaux Haut 10 les éléments proviennent également des contributions de la communauté, en fonction de problèmes importants.

Qu'est-ce qui a changé?

Alors, quoi de neuf pour 2017? Comme le dit le nouveau document:

«Nous avons complètement remanié le Top 10 de l'OWASP, réorganisé la méthodologie, utilisé un nouveau processus d'appel de données, travaillé avec la communauté, réorganisé nos risques, réécrit chaque risque à partir de zéro et ajouté des références aux cadres et aux langages. qui sont maintenant couramment utilisés. »

Nouveau:

• A4: 2017 - Entités externes XL (XXE) - qui permet aux attaquants d'exploiter des processeurs XML vulnérables
• A8: 2017 - Désérialisation non sécurisée - qui permet l'exécution de code à distance ou la manipulation d'objets sensibles sur les plates-formes affectées
• A10: 2017 - Journalisation et surveillance insuffisantes - dont l'absence peut empêcher ou retarder considérablement les activités malveillantes et la détection des violations, la réponse aux incidents et la criminalistique numérique

Fusionné:

A4: 2013 - Références directes d'objets non sécurisées et A7: 2013 - Contrôle d'accès au niveau de fonction manquant ont été fusionnés dans le nouveau A5: 2017 - Contrôle d'accès interrompu.

Retraité:

A8: 2013 - Falsification de demande intersite (CSRF) - il s'avère que de nombreux frameworks protègent désormais contre le CSRF, et il était rond dans seulement 5% des applications lors de l'analyse des données.

A10: 2013 - Redirections et transferts non validés. - celui-ci était dans environ 8% des demandes, ce qui était juste un peu moins que le nouvel élément de la liste - XXE.

Observations générales

Sans surprise, les données corrompues restent un énorme problème, comme nous le voyons A1: 2017 - Injection. C'est un problème contre lequel une programmation défensive sérieuse est très efficace, mais d'une manière ou d'une autre, nous essayons de travailler dessus en le testant. Il est temps de passer au sérieux et de retirer celui-ci du prochain Top 10 en 2020. Faisons tous notre part !

A3: 2017 - Exposition des données sensibles est un bon point de départ si le règlement général de l'UE sur la protection des données (RGPD) est sur votre radar. Le compte à rebours actuel sur la page d'accueil du RGPD indique 185 jours avant le début de l'application, alors commencez à corriger votre code dès aujourd'hui. Ceci est également évidemment utile aux États-Unis, pour toutes les exigences en matière de confidentialité telles que PCI-DSS et HIPAA. Protégez les données de vos utilisateurs avec des contrôles d'accès et un cryptage appropriés. Les violations de données sont un événement commun.

Un domaine que j'aime en particulier dans le dernier Top 10 de l'OWASP, c'est que chaque Top 10 est désormais livré avec des liens explicites vers des éléments du Énumération commune des faiblesses (CWE), où vous pouvez en savoir plus sur le problème, pourquoi il est important et comment éliminer la faiblesse. Vous pouvez également trouver facilement les problèmes associés de cette façon pour les éléments qui sont les plus importants pour vous. Le Top 25 CWE est une étape suivante parfaite une fois que vous avez le OWASP Top 10 verrouillé.

Ce que tu devrais faire:

Commencez par télécharger le pdf pour le Top 10 OWASP - 2017 et lisez-le. Il contient de nombreuses informations sur la nature du problème et sur la manière de commencer à le supprimer de vos applications. Ensuite, ajoutez-le à votre politique de sécurité et assurez-vous que votre équipe de développeurs et de testeurs y est formée. L'ajout de configurations pour les outils de sécurité tels que l'analyse statique et les tests d'intrusion aidera à renforcer cet effort. Chez Parasoft, nous avons déjà mis des configurations pour nos outils d'analyse statique dans nos forums.

Se souvenir du OWASP Top 10 est un point de départ, pas une destination. Il répertorie les problèmes les plus importants susceptibles d'affecter votre application Web. Une fois que vous l'avez maîtrisé, vous devez continuer à vous améliorer en utilisant des normes étendues telles que CWE et Normes de codage sécurisé SEI CERT. Cela vous aidera à élargir votre base de sécurité et à vous préparer aux défis de sécurité à venir.

Par Arthur Hicken

Arthur est impliqué dans la sécurité logicielle et l'automatisation des tests chez Parasoft depuis plus de 25 ans, aidant à la recherche de nouvelles méthodes et techniques (dont 5 brevets) tout en aidant les clients à améliorer leurs pratiques logicielles.