Professional Documents
Culture Documents
Prface
A propos de lOWASP
LOWASP
Open Web Application Security Project (OWASP) est une communaut publique permettant des organismes de dvelopper, acheter et maintenir des applications fiables. A lOWASP, vous trouverez en accs libre et gratuit Des normes et des outils de scurit des applications Des livres complets sur les tests de scurit des applications, le dveloppement de code scuris et laudit de code Des normes de contrles de scurit et des librairies Des Chapitres locaux dans le monde entier De la recherche de pointe Des confrences travers le monde Des listes de diffusion Et bien plus le tout sur www.owasp.org/ Y compris : www.owasp.org/index.php/Top_10 Laccs tous les outils, documents et forums de lOWASP est gratuit et ouvert toute personne intresse par lamlioration de la scurit des applications. Nous prconisons une approche scurit des applications en tant que problme de personnes, de processus et de technologie, parce que les approches les plus efficaces pour la scurit des applications ncessitent des amliorations dans tous ces domaines.
Les logiciels non scuriss sapent nos infrastructures critiques telles la finance, la sant, la dfense, lnergie et autres. Notre infrastructure numrique devenant de plus en plus complexe et interconnecte, la difficult de parvenir une scurit des applications augmente de faon exponentielle. Nous ne pouvons plus nous permettre de tolrer les problmes les plus simples comme ceux prsents dans ce Top 10 OWASP.
Le but de ce projet est de sensibiliser la scurit des applications en identifiant certain des risques les plus critiques rencontrs par les entreprise. Ce top 10 est rfrenc par de nombreuses normes, livres, outils et organisations telles MITRE, PCI DSS, DISA, FTC et bien dautres. Cette version du Top 10 OWASP marque la onzime anne de ce projet de sensibilisation limportance des risques de scurit des applications. La premire publication du Top 10 date de 2003, avec des mises jour mineures en 2004 et 2007. La version 2010 a t rorganise afin de prioriser par risque, et non juste par prdominance. Cette dition 2013 suit la mme approche.
Nous vous encourageons utiliser ce Top 10 pour que votre entreprise entame une dmarche pour la scurit des applications. Les dveloppeurs peuvent apprendre des erreurs des autres. Les dirigeants devraient commencer rflchir sur la faon de grer le risque que les logiciels crent dans leurs entreprises. Sur le long terme, nous vous encourageons crer un programme de scurit des applications compatible avec la culture et la technologie dentreprise. Ces programmes sont de toutes formes et tailles, et vous devez viter de tenter de tout faire en un modle de processus. Au lieu de cela, tirez parti des points forts de votre entreprise et mesurez ce qui fonctionne pour vous. Nous esprons que ce Top 10 est utile vos efforts. N'hsitez pas contacter l'OWASP pour vos questions, commentaires et ides, soit publiquement owasp-topten@lists.owasp.org ou dave.wichers@owasp.org en priv.
LOWASP est une organisation dun nouveau genre. Notre libert vis--vis des pressions commerciales nous permet de fournir une information impartiale, pratique et rentable de la scurit applicative. LOWASP nest lie aucune entreprise technologique, bien que nous soutenions l'utilisation claire de technologies de scurit commerciale. Semblable de nombreux projets logiciels open-source, l'OWASP produit de nombreux types de supports dans un esprit collaboratif et ouvert.
La Fondation OWASP est lentit but non-lucratif qui assure le succs long terme du projet. Presque tous ceux associs OWASP sont volontaires, y compris le Board, les Comits globaux, Chapter Leaders, Chefs de Projets et les Membres. Nous soutenons la recherche de scurit innovante avec des subventions et des infrastructures. Rejoignez nous !
Copyright et Licence
Copyright 2003 2013 The OWASP Foundation Ce document est publi sous licence Creative Commons Attribution ShareAlike 3.0. A chaque rutilisation ou distribution, vous devez en faire clairement apparatre les conditions contractuelles
I
Bienvenue
Introduction
Bienvenue dans cette dition 2013 du Top 10 de lOWASP! Cette nouvelle version introduit deux catgories tendues par rapport la version 2010 afin d'inclure d'importantes vulnrabilits. Elle propose galement une rorganisation des risques, base sur leur prvalence. Enfin, une nouvelle catgorie de risque voit le jour: la scurit des composants tiers. Ces risques, rfrencs sous A6 Mauvaise configuration scurit dans la version 2010, ont dsormais une catgorie ddie. Le Top 10 2013 de l'OWASP est bas sur 8 jeux de donnes de 7 entreprises spcialises dans la scurit des applications, dont 4 socits de conseil et 3 fournisseurs d'outils ou de services SaaS (1 statique, 1 dynamique et 1 statique et dynamique). Ces donnes couvrent plus 500 000 vulnrabilits travers des centaines d'organisations et des milliers d'applications. Les 10 catgories de risques couvertes par le Top 10 sont slectionnes et hirarchises en fonction de leur frquence, de leur exploitabilit, de leur dtectabilit et de leurs impacts potentiels. Lobjectif principal du Top 10 de lOWASP est de sensibiliser les dveloppeurs, concepteurs, architectes, dcideurs, et les entreprises aux consquences des faiblesses les plus importantes inhrentes la scurit des applications web. Le Top 10 fournit des techniques de base pour se protger contre ces domaines problmatiques haut risque et fournit des conseils sur la direction suivre.
Avertissements
Ne vous arrtez pas 10! Il y a des centaines de problmes qui pourraient influer sur la scurit globale dune application web comme indiqu dans le Guide du dveloppeur de lOWASP et la srie des OWASP Cheat Sheets. Ce se sont des lectures essentielles pour quiconque dveloppe des applications web. Des conseils sur la manire de trouver des vulnrabilits dans les applications web sont fournis dans le Guide de Test et le Guide daudit de Code. Changement constant. Ce Top 10 voluera dans le temps. Mme sans modifier une seule ligne de code de votre application, cette dernire peut dj tre vulnrable une attaque laquelle personne na pens auparavant. Veuillez prendre connaissance des conseils la fin de ce document dans les sections relatives aux dveloppeurs, vrificateurs et entreprises pour plus dinformation. Pensez positif! Quand vous serez prt arrter de chasser les vulnrabilits et vous concentrer sur ltablissement de contrles solides de scurit des applications, lOWASP a publi le Standard de Vrification de Scurit Applicative (ASVS) comme guide pour les entreprises et les auditeurs dapplications sur ce quil faut vrifier.
Remerciements
Nos remerciements Aspect Security pour avoir initi, pilot et mis jour le Top 10 de lOWASP depuis sa cration en 2003, et ses principaux auteurs: Jeff Williams et Dave Wichers.
Nous voudrions remercier les entreprises qui ont contribu supporter la mise jour 2013 en fournissant leur donnes sur la frquence des vulnrabilits: Aspect Security HP (rsultats issus des produits Fortify et WebInspect) Minded Security - Statistiques Softtek - Statistiques TrustWave, SpiderLabs Statistiques (voir page 50) Veracode Statistiques WhiteHat Security Inc. Statistiques
Utilisez les outils sagement! Les failles de scurit peuvent tre complexes et enfouies dans le code source. Dans la plupart des cas, lapproche la plus rentable pour trouver et liminer ces faiblesses reste lhumain dot de bons outils.
Allez plus loin! Faites de la scurit une partie intgrante de la culture de votre entreprise. Pour en savoir plus, consultez Open Software Assurance Maturity Model (SAMM) et Rugged Handbook.
Nous tenons galement remercier toutes les personnes ayant contribu aux versions prcdentes du Top 10, sans lesquelles , il ne serait pas ce quil est aujourdhui. Sans oublier ceux ayant contribu par leur contenu significatif ou la relecture de cette version 2013: Adam Baso (Wikimedia Foundation) Mike Boberski (Booz Allen Hamilton) Torsten Gigler Neil Smithline (MorphoTrust USA) pour la version wiki et ses commentaires.
RN
Notes de version
4) Nous avons fusionn et largi 2010-A7 et 2010-A9 pour CREER: 2013-A6: Exposition de donnes sensibles.
5) Nous avons ajout: 2013-A9: Utilisation de composants avec des vulnrabilits connues: +
Risque
Agents de Menace Vecteurs dAttaque
Attaque
Impacts Techniques
Impacts Mtier
Impact
Vulnrabilit
Parfois, ces chemins sont faciles trouver et exploiter, et parfois ils sont extrmement difficiles. De mme, le prjudice caus peut navoir aucune consquence, ou faire cesser votre activit. Pour dterminer le risque pour votre entreprise, vous pouvez valuer la probabilit relative chaque agent de menace, vecteur dattaque, et vulnrabilit et les combiner avec une estimation dimpact technique et financier pour votre entreprise. Ensembles, ces facteurs dterminent le risque global.
Rfrences
OWASP
Mthodologie dvaluation des risques OWASP Article sur la modlisation Menace / Risque
Impact Mtier
Externes
Analyse de s risques de linformation FAIR
Modlisation des menaces Microsoft (STRIDE et DREAD)
Vous seul connaissez les caractristiques de votre environnement et de votre mtier. Pour une application donne, il ny a peut-tre pas dagent de menace pouvant raliser un type dattaque, ou il peut ny avoir aucun impact technique. Cest pourquoi vous devez valuer chaque risque pour vous-mme, en vous concentrant sur les agents de menace, contrles de scurit et impacts mtiers relatifs votre votre entreprise. Nous classons les agents de menace comme spcifiques aux applications, et les impacts mtiers comme spcifiques aux applications ou au mtier pour indiquer quils sont clairement dpendants des dtails de lapplication dans votre entreprise. Le nom des risques dans le Top 10 dcoule du type dattaque, du type de faiblesse, ou du type dimpact quil peut causer. Nous choisissons des noms qui refltent les risque de manire prcise, et, quand cela est possible, nous nous alignons sur la terminologie la plus rpandue pour assurer la meilleure sensibilisation.
T10
A1 Injection A2 Violation de Gestion d'Authentification et de Session A3 Cross-Site Scripting (XSS) A4 Rfrences directes non scurises un objet A5 Mauvaise configuration Scurit
Les failles XSS se produisent chaque fois qu'une application accepte des donnes non fiables et les envoie un browser web sans validation approprie. XSS permet des attaquants d'excuter du script dans le navigateur de la victime afin de dtourner des sessions utilisateur, dfigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants.
Une rfrence directe un objet se produit quand un dveloppeur expose une rfrence un objet d'excution interne, tel un fichier, un dossier, un enregistrement de base de donnes ou une cl de base de donnes. Sans un contrle d'accs ou autre protection, les attaquants peuvent manipuler ces rfrences pour accder des donnes non autorises. Une bonne scurit ncessite de disposer d'une configuration scurise dfinie et dploye pour l'application, contextes, serveur d'application, serveur web, serveur de base de donnes et la plate-forme. Tous ces paramtres doivent tre dfinis, mis en uvre et maintenus, car beaucoup ne sont pas livrs scuriss par dfaut. Cela implique de tenir tous les logiciels jour.
Beaucoup d'applications web ne protgent pas correctement les donnes sensibles telles que les cartes de crdit, identifiants d'impt et informations d'authentification. Les pirates peuvent voler ou modifier ces donnes faiblement protges pour effectuer un vol d'identit, de la fraude la carte de crdit ou autres crimes. Les donnes sensibles mritent une protection supplmentaire tel un chiffrement statique ou en transit, ainsi que des prcautions particulires lors de l'change avec le navigateur.
Pratiquement toutes les applications web vrifient les droits d'accs au niveau fonctionnel avant de rendre cette fonctionnalit visible dans l'interface utilisateur. Cependant, les applications doivent effectuer les mmes vrifications de contrle d'accs sur le serveur lors de l'accs chaque fonction. Si les demandes ne sont pas vrifies, les attaquants seront en mesure de forger des demandes afin d'accder une fonctionnalit non autorise. Une attaque CSRF (Cross Site Request Forgery) force le navigateur d'une victime authentifie envoyer une requte HTTP forge, comprenant le cookie de session de la victime ainsi que toute autre information automatiquement inclue, une application web vulnrable. Ceci permet l'attaquant de forcer le navigateur de la victime gnrer des requtes dont l'application vulnrable pense qu'elles manent lgitimement de la victime. Les composants vulnrables, tels que bibliothques, contextes et autres modules logiciels fonctionnent presque toujours avec des privilges maximum. Ainsi, si exploits, ils peuvent causer des pertes de donnes srieuses ou une prise de contrle du serveur. Les applications utilisant ces composants vulnrables peuvent compromettre leurs dfenses et permettre une srie d'attaques et d'impacts potentiels. Les applications web rorientent et redirigent frquemment les utilisateurs vers d'autres pages et sites internet, et utilisent des donnes non fiables pour dterminer les pages de destination. Sans validation approprie, les attaquants peuvent rorienter les victimes vers des sites de phishing ou de malware, ou utiliser les renvois pour accder des pages non autorises.
A7 Manque de contrle daccs au niveau fonctionnel A8 - Falsification de requte intersite (CSRF) A9 - Utilisation de composants avec des vulnrabilits connues A10 Redirections et renvois non valids
A1
Agents de menace
Injection
Vecteurs dattaque Vulnrabilit Impacts Technique Impacts Mtier
Spcifique Application Considrez que nimporte qui peut envoyer des donnes non fiables au systme, y compris les utilisateurs externes, internes, et administrateurs.
Exploitabilit FACILE Lattaquant utilise des scripts qui exploitent la syntaxe dun interprteur cible. Presque toute source de donnes peut tre un vecteur dinjection, y compris des sources internes.
Prvalence COMMUNE
Dtection MOYENNE
Impact SEVERE LInjection peut rsulter en une perte ou une corruption de donnes, une perte de droits, ou un refus daccs. LInjection peut parfois mener une prise de contrle totale du serveur.
Spcifique Application/Mtier Considrez la valeur mtier de la donne impacte et la plateforme excutant linterprteur. Toute donne pourrait tre vole, modifie ou supprime. Votre rputation pourraitelle en ptir?
Les failles dInjection surviennent quand une application envoie des donnes non fiable un interprteur. Les failles dinjection sont trs frquentes, surtout dans un code ancien. On les retrouve souvent en SQL, LDAP, XPath, ou NoSQL; commandes OS; parseurs XML; enttes SMTP, arguments de programme, etc. Les failles dInjection se dtectent facilement via le code, difficilement via le test. Scanners et Fuzzers peuvent aider les attaquants trouver les failles dInjection.
Suis-je vulnrable?
Le meilleur moyen de savoir si une application est vulnrable lInjection est de vrifier que toute utilisation dinterprteurs spare explicitement les donnes non fiables de la commande ou de la requte. Pour les appels SQL, cela signifie utiliser des variables lies dans toutes les instructions prpares et procdures stockes, et viter les requtes dynamiques. Vrifier le code est un moyen rapide et adquat pour sassurer que lapplication utilise sainement les interprteurs. Les outils danalyse de code peuvent aider localiser lusage des interprteurs et tracer leur flux de donnes travers lapplication. Les Pentesters peuvent valider ces problmes en concevant des exploits qui confirment la vulnrabilit. Le scan dynamique peut donner un aperu des failles dInjection existantes. Les scanners ne savent pas toujours atteindre les interprteurs, ni si une attaque a russi. Une mauvaise gestion derreur aide trouver les failles.
2.
3.
Rfrences
OWASP
OWASP SQL Injection Prevention Cheat Sheet OWASP Query Parameterization Cheat Sheet OWASP Command Injection Article OWASP XML eXternal Entity (XXE) Reference Article ASVS: Output Encoding/Escaping Requirements (V6) OWASP Testing Guide: Chapter on SQL Injection Testing
Externes
CWE Entry 77 on Command Injection CWE Entry 89 on SQL Injection CWE Entry 564 on Hibernate Injection
A2
Agents de menace
Spcifique Application Considrez des attaquants externes anonymes, aussi bien que des utilisateurs lgitimes essayant de voler des comptes tiers. Considrez aussi les utilisateurs internes voulant camoufler leurs actes.
Exploitabilit MOYENNE L'attaquant exploite des fuites/failles dans les fonctions de gestion de sessions et d'authentification (e.g. comptes, mots de passe, IDs de session) pour usurper lidentit des utilisateurs.
Prvalence RPANDUE
Dtection MOYENNE
Impact GRAVE De telles failles permettraient la compromission dune partie voir de tous les comptes. Une fois effectue, l'attaquant peut faire tout ce que la victime peut. Les comptes privilges sont souvent cibls.
Spcifique Application/Mtier Considrer la valeur Mtier des donnes ou des fonctions applicatives affectes. Considrez aussi l'impact commercial d une mdiatisation de la vulnrabilit.
Dvelopper correctement un systme d'authentification ou de gestion de sessions est difficile. En consquence, ces schmas personnaliss ont souvent des failles dans des domaines tels la dconnexion, la gestion de mots de passe, l'expiration de session, la fonction "se souvenir de moi", la question secrte, la mise jour de compte, etc. Trouver de telles failles s'avre parfois difficile, chaque implmentation tant unique.
Suis-je vulnrable?
Les actifs de gestion de session comme les credentials et les IDs sont-ils correctement protgs? Vous tes vulnrables si: 1. Dfaut de protection des credentials par hash ou chiffrement lors de leur stockage. Voir A6. 2. Faiblesse des fonctions de gestion de compte (ex: cration de compte, changement de mot de passe, rcupration de mot de passe, IDs de session faibles) permettant de deviner ou dcraser les credentials. 3. Exposition des IDs de session dans l'URL. (ex: rcriture) 4. Vulnrabilit des IDs de session lattaque par fixation. 5. Pas de timeout des IDs de session ou mauvaise dsactivation des sessions ou jetons dauthentification, en particulier SSO lors de la dconnexion. 6. Non rotation des IDs de session aprs connexion russie. 7. Les mots de passe, IDs de session et autres credentials transitent par des canaux non chiffrs. Voir A6. Veuillez consulter les sections V2 et V3 de l'exigence ASVS pour plus de dtails.
b) proposer une interface simple aux dveloppeurs. Prendre comme exemple linterface ESAPI Authenticator et ses APIs utilisateur. 2. Un effort particulier doit tre accord la prvention des failles XSS, susceptibles d'tre utilises pour voler des identifiants de session. Voir A3.
Rfrences
OWASP
Pour plus de dtails sur les exigences et les problmes viter dans ce domaine, voir les exigences de vrification ASVS pour lAuthentification (V2) et la Gestion de Sessions (V3). OWASP Authentication Cheat Sheet OWASP Forgot Password Cheat Sheet OWASP Session Management Cheat Sheet
Externes
CWE Entry 287 on Improper Authentication CWE Entry 384 on Session Fixation
A3
Agents de menace
Spcifique Application Considrez quelquun pouvant transmettre des donnes non fiable au systme, y compris utilisateurs externes, internes et adminstrateurs.
Exploitabilit MOYENNE Lattaquant envoie des scripts qui exploitent linterprteur dans le navigateur. Toute source de donne peut tre un vecteur dattaque y compris des sources internes telles que les donnes dune base interne.
Dtection FACILE
Impact MODR Lattaquant peut excuter des scripts dans le navigateur de la victime pour dtourner des sessions, dfigurer des sites, insrer du contenu hostile, rediriger lutilisateur vers un site malveillant, etc.
Spcifique Application/Mtier Considrez la valeur mtier du systme concern ainsi que lensemble des donnes quil traite. Considrez galement l'impact commercial dune exposition publique de la vulnrabilit.
XSS est la faille la plus rpandue dans les application web. Les failles XSS ont lieu lorsquune application inclut des donnes fournies par lutilisateur dans une page envoye au navigateur, sans validation ou chappement correct de ce contenu. il en existe trois types connus: 1)Stocke, 2)Rflchie, et 3) XSS base sur DOM.
La dtection de la plupart des failles XSS est assez simple par test ou analyse de code.
Suis-je vulnrable?
Vous tes vulnrable si vous ne vous assurez pas que toute donne transmise est correctement chappe ou quune validation a t ralise pour en contrler la fiabilit, ceci avant dtre incluse dans la page retourne au navigateur. Sans chappement ou validation adquate, une telle donne sera interprte comme du contenu excutable par le navigateur. Si AJAX est utilis pour mettre--jour dynamiquement la page, utilisez-vous safe JavaScript ? Les outils automatiss peuvent identifier des failles XSS. Cependant, chaque application sa mthode de construction des pages et diffrents interprteurs peuvent tre utiliss sur le navigateur tel que JavaScript, ActiveX, Flash ou Silverlight, ce qui rend la dtection automatique dlicate. Une couverture complte ncessite ainsi une revue de code et des tests de pntration en plus de loutil automatis. Les technologies web 2.0 telles que AJAX rendent les failles XSS plus difficiles dtecter via les outils automatiss.
2.
3. 4.
Rfrences
OWASP
OWASP XSS Prevention Cheat Sheet OWASP DOM based XSS Prevention Cheat Sheet OWASP Cross-Site Scripting Article ESAPI Encoder API ASVS: Output Encoding/Escaping Requirements (V6) OWASP AntiSamy: Sanitization Library
Externes
CWE Entry 79 on Cross-Site Scripting
A4
Agents de menace
Spcifique Application Considrez les diffrents types dutilisateurs de votre systme. Certains dentre eux ont-ils un accs limit aux donnes en fonction de leur nature ?
Exploitabilit FACILE L'attaquant, un utilisateur lgitime, substitue la valeur d'un paramtre faisant rfrence un objet, par une rfrence un autre objet qui lui est interdit. Aura-t-il accs cette ressource ?
Prvalence COMMUNE
Dtection FACILE
Impact MODR Toutes les donnes rfrences par le paramtre vulnrable sont concernes. Sauf si des rfrences non prdictibles sont utilises, il est facile pour l'attaquant d'accder toutes les ressources.
Spcifique Application/Mtier Considrez la valeur marchande des donnes exposes. Considrez galement limpact li la divulgation de la vulnrabilit au grand public.
Les applications incluent souvent les identifiants techniques des objets au sein des pages gnres (nom, cl, etc.). La vrification des autorisations de l'utilisateur avant accs aux objets nest pas systmatique. On parle dans ce cas de rfrences directes non scurises. Il est facile de dtecter cette vulnrabilit en modifiant la valeur des paramtres lors de tests. Lanalyse rapide du code peut aussi dmontrer labsence de vrification.
Suis-je vulnrable ?
Le meilleur moyen de dterminer si une application est vulnrable aux rfrences directes non scurises est de vrifier que toutes les rfrences vers un objet disposent des dfenses adaptes. Pour cela : 1. Pour les rfrences directes des ressources protges, lapplication choue-t-elle vrifier que lutilisateur est bien autoris accder la ressource demande ? 2. Pour les rfrences indirectes, lassociation vers la rfrence directe stend-elle au-del des seules valeurs autorises lutilisateur en question ? Lanalyse du code applicatif permet de rapidement vrifier que lune ou lautre des techniques est bien employe. La ralisation de tests est galement efficace pour identifier les rfrences directes et valuer leur scurit. Les outils automatiss ne cherchent pas identifier de telles vulnrabilits puisquils sont incapables de reconnatre ce qui requiert une protection, ni mme ce qui est scuris ou non.
2.
Rfrences
OWASP
OWASP Top 10-2007 on Insecure Dir Object References ESAPI Access Reference Map API ESAPI Access Control API (voir isAuthorizedForData(), isAuthorizedForFile(), isAuthorizedForFunction() ) Pour une liste de contrles additionnels, consultez le guide ASVS requirements area for Access Control (V4).
Externes
CWE Entry 639 on Insecure Direct Object References CWE Entry 22 on Path Traversal (qui est un exemple dattaque sur des rfrences directes non scurises)
A5
Agents de menace
Spcifique Application Considrez des attaquants externes anonymes, ou des utilisateurs lgitimes peuvent tenter de compromettre le systme. Considrez aussi des internes voulant dissimuler leurs actes.
Exploitabilit SIMPLE Attaquant accdant des comptes par dfaut, pages non utilises, vulnrabilits non corriges, fichiers et rpertoires non protgs, etc. Afin dobtenir des accs non autoriss ou des informations sur le systme.
Prvalence COMMUNE
Dtectabilit FACILE
Impact MODERE Cette vulnrabilit donne souvent aux attaquants des accs non autoriss des systmes ou des fonctionnalits. Occasionnellement, ces vulnrabilits entrainent une compromission complte du systme.
Spcifique Application/Mtier Le systme peut tre compromis sans le savoir. Lensemble de vos donnes peut tre drob ou modifi lentement dans le temps. Les cots de rcupration peuvent tre levs.
Une mauvaise configuration de scurit peut survenir sur lensemble des couches, la plateforme, le serveur web, le serveur dapplication, le Framework et le code spcifique. Dveloppeurs et administrateurs system ont besoin de travailler ensemble pour sassure que lensemble des couches sont configure correctement. Les scanners automatiss sont utiles pour dtecter les patchs manquants, erreur de configuration, comptes par dfaut, services inutiles, etc.
Suis-je vulnrable?
Avez-vous effectu le durcissement de scurit appropri sur lensemble des couches de lapplication ? incluent 1. Est-ce que vos logiciels sont jour ? OS, Web/App Server, BE, applications, et lensemble des librairies de code (Voir nouveau point A9). 2. Y-a-til des fonction inutiles actives/installes(ex : ports, services, pages, comptes, privilges)? 3. Les mots de passe par dfaut sont activs et inchangs ? 4. Affichez-vous ltat de la paile et des messages derreurs aux utilisateurs ? 5. La configuration scurit des frameworks de dveloppement(Ex : Struts, Spring, ASP.NET) ne sont pas configurs avec des valeurs scurises ? Sans processus de configuration reproductible concert, les systmes sont exposs .
2.
3. 4.
Rfrences
OWASP
OWASP Development Guide: Chapter on Configuration OWASP Code Review Guide: Chapter on Error Handling OWASP Testing Guide: Configuration Management OWASP Testing Guide: Testing for Error Codes OWASP Insecure Configuration Management Pour plus dinformations, il est possible de consulter ASVS requirements area for Security Configuration (V12).
Externes
PC Magazine Article on Web Server Hardening CWE Entry 2 on Environmental Security Flaws CIS Security Configuration Guides/Benchmarks
A6
Agents de menace
Spcifique Application Considrer tout acteur interne ou externe ayant accs direct aux donnes sensibles (en mmoire, dans des fichiers, dans les sauvegardes, etc.) ou un rseau par lequel elles transitent.
Exploitabilit DIFFICILE La cryptanalyse (cassage de lalgorithme ou de la cl) reste rare. On prfre obtenir les cls, intercepter le trafic ou accder aux donnes en clair directement sur le serveur ou dans le navigateur.
Dtection MOYENNE
Impact SEVERE Lexploitation peut rsulter en la compromission ou la perte de donnes personnelles, mdicales, financires, dlments de cartes de crdit ou dauthentification, etc.
Spcifique Application/Mtier Considrer la valeur conomique des donnes perdues, limpact potentiel pour la rputation de lorganisation ainsi que les implications lgales pouvant rsulter de leur perte ou leur diffusion.
La principale erreur est de ne pas chiffrer les donnes sensibles. Les autres erreurs frquentes sont: gnration de cls faibles, choix et configuration incorrects des algorithmes et protection insuffisante des mots de passe. Les faiblesses dans le navigateur sont rpandues et simples dtecter mais difficiles exploiter. En gnral, les faiblesses cryptographiques sont plus difficiles identifier et exploiter de lextrieur, en raison dun accs limit.
Suis-je vulnrable?
Dterminer dabord quelles donnes doivent bnficier dune protection cryptographique (mots de passe, donnes patient, numros de cartes, donnes personnelles, etc.), lors de leur transfert et/ou leur stockage. Pour chacune de ces donnes: 1. 2. 3. 4. 5. Les donnes sont-elles stockes/archives en clair? Quen est-il des sauvegardes? Les donnes circulent-elles en clair? Sur le rseau interne? Externe? Et sur Internet? (trs risqu) Des algorithmes faibles ou dsuets sont-ils utiliss? Les cls sont-elles robustes? Leur gestion et rotation sont-elles prises en charge? Les rponses transmises au navigateur incluent-elles les directives/en-ttes de scurit adquats?
2. 3.
4. 5.
Pour une liste complte de contrles, se rfrer lASVS: Crypto (V7), Data Protection. (V9), SSL (V10)
Rfrences
OWASP
Recommandations et contrles du rfrentiel ASVS: Cryptography (V7), Data Protection (V9) et Communications Security (V10)
OWASP Cryptographic Storage Cheat Sheet OWASP Password Storage Cheat Sheet OWASP Transport Layer Protection Cheat Sheet OWASP Testing Guide: Chapter on SSL/TLS Testing
Externes
CWE 310 : Cryptographic Issues CWE 312 : Cleartext Storage of Sensitive Information CWE 319 : Cleartext Transmission of Sensitive Information CWE 326 : Weak Encryption
A7
Agents de menace
Spcifique Application Toute personne pouvant envoyer une requte lapplication. Un utilisateur anonyme peut-il accder une fonctionnalit prive ? Un simple utilisateur peut-il accder une fonctionnalit privilgie ?
Exploitabilit FACILE Lattaquant modifie simplement lURL ou les paramtres dune fonction privilgie. Si laccs est autoris, cela signifie que les utilisateurs peuvent accder des fonctionnalits prives non protges.
Prvalence COMMUNE
Dtectabilit MOYENNE
Impact MODR Ces vulnrabilits permettent un attaquant daccder des fonctionnalits non autorises. Les fonctionnalits dadministration sont les cibles privilgies de ce type dattaque.
Spcifique Application/Mtier Prenez en compte la valeur mtier des fonctionnalits exposes et des donnes quelles traitent. Considrez aussi limpact sur votre rputation si la vulnrabilit devenait publique.
Les applications ne protgent pas toujours correctement certaines fonctionnalits. Parfois, les protections de niveau fonctionnel sont gres par configuration et le systme est mal configur. Parfois, les dveloppeurs oublient dintgrer les vrifications logicielles adquates. Dtecter de telles vulnrabilits est ais. La tche la plus difficile consiste identifier les URLs ou fonctionnalits devant tre testes.
Suis-je vulnrable ?
La meilleure faon de le vrifier est de tester chacune des fonctionnalits applicatives : 1. 2. 3. Linterface utilisateur permet-elle de naviguer vers des fonctionnalits accs restreint ? Certaines vrifications ct serveur (authentification et autorisation) sont-elles manquantes ? Ces vrifications sont-elles ralises en sappuyant seulement sur des informations fournies par lattaquant ?
Visitez lapplication avec des droits privilgis, puis raccdez les fonctionnalits restreintes avec des droits infrieurs.
Vous pouvez aussi inspecter le code grant le contrle daccs. Tracez une requte privilgie, identifiez les contrles daccs prsents puis cherchez o ces vrifications ne sont pas implmentes. Il est peu probable quun outil identifie seul ces vulnrabilits.
3.
Si la fonctionnalit fait partie dun workflow, vrifiez que les conditions requises pour accder cet tat sont runies.
NOTE : La plupart des applications naffichent pas de liens vers les fonctionnalits restreintes, mais cela ne constitue pas une protection. Les vrifications doivent aussi tre ralises au sein des couches Contrleur et Mtier.
Rfrences
OWASP
OWASP Top 10-2007 on Failure to Restrict URL Access
Voir ASVS requirements area for Access Control (V4) pour des exigences additionnelles de contrle daccs.
Externes
CWE Entry 285 on Improper Access Control (Authorization)
A8
Agents de Menace
Vulnrabilit
Impacts Techniques
Impacts Mtier
Spcifique Application Tout accs de vos utilisateurs un site web, ou une source HTML, peut charger du contenu dans leur navigateur. Et, un contenu, spcialement forg, peut permettre que leur navigateur gnre une requte automatique vers votre site.
Exploitabilit MOYENNE Lattaquant forge une requte HTTP et, par le biais d'une balise image, d'une faille XSS ou dune autre technique, force le navigateur mettre la requte, l'insu de lutilisateur. Si ce dernier est authentifi, lattaque va russir.
Prvalence COURANT
Dtectabilit FACILE
Impact MODERE Lattaquant peut forcer la victime raliser nimporte quelle opration de changement dtat autorise la victime.
Spcifique Application/Mtier Estimer la valeur mtier des donnes et des fonctions qui pourraient tre affectes.
CSRF exploite le fait que la plupart des applications web permettent aux attaquants de prvoir tous les dtails de certaines actions. Et, comme les navigateurs envoient automatiquement les informations dauthentification, tels que les cookies de session, les attaquants peuvent concevoir des pages web malicieuses , qui gnrent des requtes spcialement forges, qui paraissent ainsi lgitimes. Une faille CSRF est assez facile dtecter par une analyse de code, ou par un test dintrusion.
Imaginer limpact quil y aurait ne Ainsi, il peut la pas savoir si les forcer modifier actions ralises, son compte, ont t faites faire des achats, intentionnellement se dconnecter ou ou pas, par vos mme se utilisateurs. connecter. Estimer limpact sur votre rputation.
Suis-je vulnrable ?
Vrifier si chaque lien et formulaire contient un jeton alatoire. Sans de tels jetons, un attaquant peut forger des requtes malicieuses. Une dfense alternative consiste sassurer que lutilisateur est lauteur de la requte, soit par r-authentification, soit par vrification que la demande nest pas automatise (ex., par un test CAPTCHA). Se concentrer sur les liens et les formulaires qui appellent des fonctions de changement dtat car elles sont les principales cibles des attaques CSRF. Vrifier les transactions qui ont plusieurs tapes car elles ne sont pas intrinsquement sans faille. Les attaquants peuvent facilement forger des sries de requtes en utilisant des balises multiples ou, ventuellement du javascript. Attention, les cookies de session, les adresses IP source, et autres informations envoyes automatiquement par les navigateurs, nassurent aucune protection contre la falsification de requte inter site, car ils sont aussi systmatiquement envoys avec les requtes forges. Loutil CSRF Tester de lOWASP peut vous aider gnrer des tests pour dmontrer les dangers des failles CSRF.
La mthode standard de protection ncessite dajouter un jeton alatoire chaque requte HTTP. Ces jetons doivent, au minimum, tre uniques par session utilisateur : 1. La meilleure option est dinclure un jeton unique dans un champ cach. Ce jeton, envoy dans le corps de la requte HTTP, et non insr dans lURL, sera ainsi potentiellement moins expos. 2. Le jeton unique peut aussi tre inclus directement dans lURL, ou dans un paramtre de lURL. Mais il risque dtre accessible lattaquant et ainsi dtre compromis. Le projet CSRF Guard de lOWASP fournit des bibliothques pour insrer de tels jetons dans les applications Java EE, .NET, ou PHP. Et le projet ESAPI de lOWASP fournit des interfaces de programmation que les dveloppeurs peuvent utiliser pour empcher les attaques CSRF. Demander lutilisateur de se r-authentifier ou, vrifier que la demande nest pas automatise (par ex., avec un test CAPTCHA) peut aussi vous protger contre ces attaques.
Rfrences
OWASP
OWASP CSRF Article OWASP CSRF Prevention Cheat Sheet OWASP CSRFGuard - CSRF Defense Tool ESAPI Project Home Page
Externes
CWE Entry 352 on CSRF
A9
Agents de menace
Spcifique Application
Certains composants vulnrables (Ex: bibliothques) peuvent tre identifies et exploites laide doutils automatiss, augmentant la population des agents de menace, qui peuvent tre utiliss au del des attaques cibles par des hacktivistes.
Exploitabilit MOYENNE
Lattaquant utilise des outils manuels ou des scanners afin didentifier un composant vulnrable. Il personnalise si besoin lexploit et excute lattaque. Cela est dautant plus difficile si le composant est imbriqu profondment dans lapplication.
Prvalence DIFFUSION
Dtection DIFFICILE
Impact MODR
Le paysage complet des faiblesses est envisageable : injection, violation de contrle daccs, XSS, etc. Limpact peut tre minime, ou entraner la compromission totale du systme ou une atteinte aux donnes.
Spcifique Application/Mtier
Prendre en compte ce quimplique la vulnrabilit pour le mtier utilisant lapplication touche. Cela peut tre bnin ou correspondre une compromission totale.
Potentiellement, toutes les applications peuvent tre impactes par ces vulnrabilits, notamment parce que les quipes de dveloppement ne sassurent pas que les composants/bibliothques sont jour. Dans la plupart des cas, les dveloppeurs ne connaissent mme pas tous les composants sur lesquels reposent leur application, sans mme parler des numros de version correspondants. Les dpendances entre composants aggravent dautant plus la situation.
Suis-je vulnrable?
En thorie, il semble simple didentifier si vous utilisez des composants ou bibliothques vulnrables. Malheureusement, les rapports de vulnrabilits des logiciels commerciaux ou open source ne permettent pas toujours de prsenter sous une forme standardise ou de rechercher quelle version dun composant est concerne par une vulnrabilit. Dautant plus que la majorit des bibliothques nutilisent pas un systme de numrotation de version comprhensible. Le pire tant que certaines vulnrabilits ne sont pas centralises chez un dpositaire unique facilitant les recherches, mme si il est de plus en plus facile de rechercher sur certains sites comme CVE et NVD. Dterminer si vous tes vulnrable ncessitent de rechercher tout ce qui pourrait tre une vulnrabilit dans ces bases de donnes, dans les listes de diffusion et les annonces. Si lun de vos composants possde une vulnrabilit, il faut vrifier scrupuleusement si votre code fait appel une fonctionnalit vulnrable du composant et si cette faiblesse entrainerait un risque vous impactant.
Rfrences
OWASP
OWASP Dependency Check (for Java libraries) OWASP SafeNuGet (for .NET libraries thru NuGet) Good Component Practices Project
Externes
The Unfortunate Reality of Insecure Libraries Open Source Software Security Addressing Security Concerns in Open Source Components MITRE Common Vulnerabilities and Exposures Example Mass Assignment Vulnerability that was fixed in ActiveRecord, a Ruby on Rails GEM
A10
Agents de menace
Spcifique Application
Considrez toute personne pouvant tromper vos utilisateurs lors dune requte sur votre site web. Nimporte quel site web ou flux HTML peut tre utilis cette fin.
Exploitabilit MOYENNE
Un attaquant utilise des redirections non valides afin dinciter lutilisateur cliquer sur un lien. Les victimes sont en confiance car les liens pointent vers un site connu. Lattaquant cible les renvois non srs afin de contourner les mcanismes de scurit.
Prvalence RARE
Dtection FACILE
Impact MODERE
Certaines redirections essayent dencourager les victimes installer des logiciels malicieux ou fournir des informations sensibles. Des renvois non srs peuvent amener le contournement de contrles daccs.
Spcifique Application/Mtier
Quelle est la valeur associe la confiance de vos utilisateurs.
Les applications utilisent frquemment les redirections et les renvois pour rediriger les utilisateurs vers d'autres pages. Parfois la page cible est spcifie dans un paramtre non valid, permettant un attaquant de choisir la page de destination. La dtection de redirections non vrifies est facile. Recherchez des redirections o l'URL complte peut tre modifie. La dtection de renvois non vrifis est plus complique puisqu'ils ciblent des pages internes.
Quel serait limpact en cas de compromission dun logiciel malveillant ? Quel serait limpact si un attaquant accdait aux fonctions internes de lapplication ?
Suis-je vulnrable?
La meilleure faon de dtecter si une application possde des redirections ou des renvois non valids est de :
1.
Revoir le code source de tous les renvois ou les redirections (appel transferts en .NET). Pour chaque utilisation, dterminer si lURL de destination est inclue dans un paramtre de lapplication. Dans ce cas, si lURL de destination nappartient pas une liste blanche, alors lapplication est vulnrable.
Parcourir le site afin didentifier si des redirections sont gnres par lapplication (codes 300-307 HTTP, notamment 302). Dterminer si les paramtres fournis utilisent une URL de destination. Si cest le cas, modifier lURL cible et valider si la redirection est effectue vers la nouvelle cible. Si le code source nest pas disponible, vrifier si des paramtres sont utiliss dans le cadre dune redirection ou dun renvoi et, si cest le cas, tester les.
1.
2.
3.
2.
3.
Il est recommand de ne pas utiliser dURL dans les paramtres, mais plutt une valeur abstraite qui sera traduite ct serveur par une URL cible. Les applications peuvent utiliser ESAPI afin de bnficier de la fonction sendRedirect() permettant de sassurer que les redirections soient sres. Lradication de telles failles est extrmement importante car elles sont principalement utilises dans des attaques de phishing afin de gagner la confiance des utilisateurs.
Rfrences
OWASP
OWASP Article on Open Redirects ESAPI SecurityWrapperResponse sendRedirect() method
Externes
CWE Entry 601 on Open Redirects WASC Article on URL Redirector Abuse Google blog article on the dangers of open redirects OWASP Top 10 for .NET article on Unvalidated Redirects and Forwards
+D
Il est bien plus efficace dintgrer la scurit dans une application ds sa conception plutt que d'identifier les failles et les corriger a posteriori. Les aide-mmoire de l'OWASP ont pour objectif de vous guider dans cette tche. LOWASP recommande galement la lecture du guide de dveloppement OWASP.
Contrles de
scurit communs
Il est particulirement difficile de concevoir des contrles de scurit fiables et simples utiliser. Un jeu de contrles standard simplifie radicalement le dveloppement d'applications scurises. L'OWASP recommande comme modle pour le dveloppement scuris des APIs de votre application le projet "OWASP Enterprise Security API (ESAPI)". Il inclut des implmentations de rfrence en Java, .NET, PHP, Classic ASP, Python et Cold Fusion.
Afin d'amliorer le processus que suit votre organisation pour le dveloppement d'applications, l'OWASP recommande l'"OWASP Software Assurance Maturity Model (SAMM)". Ce modle aide les organisations formuler et implmenter une stratgie adapte aux risques spcifiques auxquels elles sont confrontes.
Le projet ducation de l'OWASP met disposition des ressources de formation afin d'aider la sensibilisation des dveloppeurs. Il regroupe une liste de prsentations cette fin. Afin de vous confronter aux vulnrabilits les plus courantes, essayez l'OWASP WebGoat, WebGoat.NET ou encore le projet applications web dfaillantes. Et pour rester jour, venez assister une confrence AppSec OWASP, une session de formation, ou une runion du chapitre OWASP local.
De nombreuses autres ressources OWASP sont disponibles. Consultez la page des projets OWASP qui les recense, organiss selon leur niveau de maturit (Release Quality, Beta, ou Alpha). La plupart des ressources OWASP sont disponibles sur le wiki, et un grand nombre de documents OWASP peuvent tre commands au format papier ou lectronique (eBook).
+V
Soyez Organis
Afin de vrifier la scurit dune application web que vous avez dvelopp ou que vous envisagez dacqurir, lOWASP recommande dexaminer le code applicatif (si le code source est disponible) et de tester lapplication. LOWASP recommande la combinaison dune revue du code lie la scurit et ltablissement dun test dintrusion applicatif ds que cela savre possible, cela permet daugmenter le niveau de rsultat des deux techniques, les deux approches se compltant mutuellement. Les outils facilitant le processus de vrification peuvent amliorer lefficience et lefficacit dun analyste expert. Les outils dvaluation de lOWASP se focalisent sur laide apporte un expert afin de devenir plus efficace, plutt que de tenter dautomatiser le processus danalyse. Standardisation Comment Vrifiez Vous la Scurit dApplication Web: Afin daider les organisations dvelopper de la cohrence et de dfinir un niveau de rigueur lors de lvaluation dapplications web, lOWASP a produit lOWASP Standard de Vrification de Scurit Applicative (ASVS). Ce document dfinit un standard de vrification minimum pour effectuer lvaluation de scurit des applications web. LOWASP recommande dutiliser ASVS comme guide pas seulement lorsque vous vrifiez la scurit dune application Web, mais aussi sur les techniques les plus appropries utiliser, et de vous aider dfinir et slectionner un niveau de rigueur lorsque vous vrifiez la scurit dapplication web. LOWASP recommande par ailleurs lutilisation de lASVS pour vous aider dfinir et slectionner tout service dvaluation dapplication web que vous pourriez vous procurer par un fournisseur tiers. Suite dOutils dEvaluation : Le projet OWASP Live CD consolide plusieurs des meilleurs outils de scurit open source dans un environnement de dmarrage ou dans une machine virtuelle (VM). Les dveloppeurs web, testeurs, et professionnels de la scurit peuvent excuter ce Live CD, or excuter la VM, et immdiatement avoir accs une suite complte de test de scurit. Aucune installation ni configuration nest requise pour utiliser les outils fournis sur ce CD.
Revue de Code
La revue de code en scurit est particulirement adapte pour vrifier quune application contient des mcanismes de scurit forts, et de trouver des lments qui seraient difficiles identifier en examinant les donnes de sorties. Tester une application est adapt pour prouver que des failles sont exploitables. Cela tant, les deux approches sont complmentaires et se recoupent dans quelques domaines. Revue de Code : En tant que compagnon du Guide du Dveloppeur OWASP, et le Guide des Tests OWASP, lOWASP a produit le Guide de la Revue de Code OWASP pour aider les dveloppeurs et les spcialistes de la scurit applicative comprendre comment examiner de manire efficiente et efficace la scurit dune application web par la revue de code. Il y a de nombreuses questions de scurit applicatives, tel que les failles dinjection, qui sont de loin plus facile dterminer au travers de la revue de code que du test externe. Outil de Revue de Code : LOWASP a fait du travail prometteur dans le domaine de lassistance aux experts pour effectuer de lanalyse de code, mais ces outils sont encore leurs dbuts. Les auteurs de ces outils les utilisent chaque jour lorsquils effectuent leurs revues de code en scurit, mais les non-experts pourraient trouver ces outils compliqus dutilisation. Cela inclut CodeCrawler, Orizon, et O2. Seul O2 a t en dveloppement actif depuis la dernire version du Top 10 en 2010. Il y a dautres outils de revue de code gratuits et open source. Le plus prometteur est FindBugs, et son nouveau plugin de scurit sappelle FindSecurityBugs, les deux tant sous Java.
+O
Pour commencer
Identifier et prioriser votre portefeuille d'applications du point de vue du risque inhrent. Crer un modle de profil de risque applicatif pour mesurer et hirarchiser vos applications. tablissez des directives d'assurance pour dfinir correctement la couverture et le niveau de rigueur requis. Dfinissez un modle commun dvaluation des risques avec un ensemble cohrent de probabilit et de facteurs d'impact refltant la tolrance de votre organisation pour le risque.
Adoptez une liste prcise de normes et standards dfinissant les rgles de base de la scurit des applications qui devront tre adoptes par les quipes de dveloppement. Dfinissez une liste commune de contrles priodiques qui compltent ces politiques et normes et qui fournisse les conseils de conception et de dveloppement sur leur utilisation. Mettez en place un programme de formation spcifique la scurit des applications s'adressant aux diffrents mtiers et sujets de dveloppement.
Dfinissez et intgrez les activits dimplmentation et de vrification de la scurit dans les processus de dveloppement et oprationnels existant. Les activits comprennent modlisation des menaces, conception scurise & review, programmation scurise et revue de code, tests de pntration et remdiation. Fournissez des services de support et dexpertise disposition des quipes de dveloppement et de gestion de projet pour russir. Grez avec des mtriques. Pilotez les dcisions de financement et d'amlioration en vous basant sur les mtriques et les donnes d'analyse recenses. Les mtriques comprennent le respect des pratiques / activits de scurit, les vulnrabilits introduites, les vulnrabilits attnues, la couverture de l'application, la densit de dfauts par type et par nombre d'instances, etc. Analysez les donnes des activits de mise en uvre et de vrification pour rechercher la cause premire et des modles de vulnrabilit pour conduire des amliorations stratgiques et systmiques travers l'entreprise.
+R
Vulnrabilit
Impacts Techniques
Impacts Mtiers
Spcifique lApplication
Exploitabilit MOYENNE
Dtection FACILE
Impact MODERE
Spcifique Application/Mtier
0 1
1 * 2
2 2
+F
RISQUES
Agents de Menace
Vulnrabilit Dtection
Impacts Mtier
A1-Injection A2-Auth et Sess A3-XSS A4-Rf non scu. A5-Config A6-Donnes A7-ACL Fonc. A8-CSRF A9-Composants
Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication
COMMUNE RPANDUE TRS RPANDUE COMMUNE COMMUNE RARE COMMUNE COMMUNE RPANDUE
Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication Spcifique lApplication
A10-Redirection
MOYENNE
RARE
FACILEMENT
MODR
LES ICNES CI-DESSOUS REPRESENTENT LES AUTRES VERSIONS DE CET OUVRAGE DISPONIBLES A L'IMPRESSION.
ALPHA: Le contenu de Qualit Alpha est un document de travail dont le contenu est approximatif et en dveloppement jusqu'au niveau de publication suprieur. BETA: Le contenu de Qualit Beta correspond au niveau de publication suivant. Le contenu reste en dveloppement jusqu' la prochaine publication. RELEASE: Le contenu de Qualit Release est le plus haut niveau de qualit du cycle de publication dun ouvrage, et correspond au produit final.
LOpen Web Application Security Project (OWASP) est une communaut mondiale libre et ouverte ayant pour but l'amlioration de la scurit des applications logicielles. Notre mission est de rendre la scurit des applications visible , pour que les particuliers et les entreprises puissent prendre des dcisions tenant compte des risques de scurit lis aux applications. Chacun est libre de participer l'OWASP et tous nos supports sont disponibles sous licence libre et gratuite. La Fondation OWASP est une association but non lucratif de type 501c3 qui garantit la disponibilit future et le support de nos travaux.