headerIcone

Patinaud.org


Le système d'information dans toute sa définition

Documentaires
Technologies
Législation
Normes et bonnes pratiques
 
Gestion des données
 
 
Principaux acteurs
 
 
Spécifictées bancaires
 
A propos de Patinaud.org

Open Web Application Security Project (OWASP)

L'OWASP est une communauté libre et ouverte à tous s'organisant en ligne et travaillant sur la sécurité des applications Web. Elle publie des recommandations à destination des professionnels du secteurs afin de renforcer la sécurisation des applications web.

Historique

Créé par Mark Curphey le 9 septembre 2001, Jeff Williams a pris la présidence de l'OWASP à partir de fin 2003 puis été remplacé par Tobias Gondrom en septembre 2011. Elle a le statut d'une organisation caritative aux Etats-Unis depuis 2004 et a été enregistrée en France en tant qu'association à but non lucrative depuis juin 2011.

Projets

L'OWASP mène plusieurs projets, dont les plus connus sont les suivants.

Top Ten OWASP

Ce projet vise à données la listes des dix vulnérabilité les plus critiques. Ce top ten sert de référence pour la majorité des audits de sécurité des système d'information. Le but de ce projet est de fournir une liste des dix risques de sécurité applicatifs Web les plus critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité : il est cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information (DoD, PCI Security Standard). En 2013, OWASP a mis à jour son classement en lançant le Top Ten OWASP 2013 qui a pour objectif de sensibiliser les développeurs sur les failles Web les plus importantes. La majorité des audits de sécurité informatique Web est basée sur ce Top Ten. En 2021 ce top 10 est composé de la manière suivante : voir liste officielle 1/ Broken Access Control : correspond au risque de casser la gestion de l’authentification et de la session. Comprend notamment le vol de session ou la récupération de mots de passe. 2/ Cryptographic Failures : correspond à l'exposition de données sensibles car les protocoles cryptographiques ne sont pas correctement implémentés. 3/ Cryptographic Failures : correspond à l'injection de code malveillant notamment en passant du code applicatif au travers un formulaire web. Ce code applicatif sera ensuite exécuté par le serveur. 4/ Insecure Design : correspond à une défaillance de la sécurité au niveau de l'architecture mise en place. 5/ Security Misconfiguration : correspond aux failles de configuration liées aux serveurs Web, applications, base de données ou framework. 6/ Vulnerable and Outdated Components : correspond à l'utilisation de composant ancien ou pour les quelles des failles de sécurités ont étaient découverte et qui ne sont sont pas mis à jour. 7/ Identification and Authentication Failures : correspond à des formulaires ou des protocoles d'authentification de connection mal sécurisés. 8/ Software and Data Integrity Failures : correspond à l'interprétation de données dont la source n'est pas certaines, le téléchargement de code sans contrôle de son intégrité, ... 9/ Security Logging and Monitoring Failures : correspond aux failles dans les logs tel que l'affichage en clair de mots de passe ou de données sensibles dans les logs. 10/ Server-Side Request Forgery (SSRF) : correspond à l'accès à des fonctionnalités ou des ressources nécessitant certains habilitations en détournant les URL ou les path de fichiers.