TOP 10 des failles de sécurités

le 19/04/2010 à 19:29
TOP 10 des failles de sécurités
L'OWASP est un projet mondial pour améliorer la sécurité des logiciels d'application ou web (PHP...).

A travers son internet, le projet vient de mettre à jour cette liste :

A1: Injection
A2: Cross-Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: Insecure Direct Object References
A5: Cross-Site Request Forgery (CSRF)
A6: Security Misconfiguration
A7: Insecure Cryptographic Storage
A8: Failure to Restrict URL Access
A9: Insufficient Transport Layer Protection
A10: Unvalidated Redirects and Forwards

Par ailleurs, plusieurs documents ont été réalisés pour expliquer comment fonctionne les différentes attaques.

- OWASP Top 10 for 2010
- Communiqué presse OWASP Top 10 for 2010

A lire également

Le cabinet Bit9, spécialisé dans la sécurité informatique, a publié une liste des applications qui se sont avérées les plus vulnérables cette année. Plus précisément, le rapport classifie le top 10 des logiciels grand public ayant présenté des failles critiques entre le 1er janvier et le 21 octobre 2010. Ces derniers ont été précédemment ajoutés à la base de données américaine répertoriant l'ensemble des vulnérabilités.

Au travers de ce rapport les analystes précisent aussi : « il est intéressant de noter que les applications Apple prennent une part plus importante sur cette liste », en ajoutant que les utilisateurs d'un Mac ne sont plus aussi protégés qu'avant.

Malgré l'engouement général autour du navigateur Google Chrome, il s'agit pourtant de celui ayant enregistré le plus de failles critiques en 10 mois. Au total Bit9 en a répertorié 76. Les versions 6.0.472.59 et 7.0.517.41 permettent par exemple à un hacker d'effectuer une attaque par déni de service. Le développement du projet Chromium est relativement rapide et Bit9 ajoute que la plupart des éditeurs de la liste ont corrigé ces problèmes. Il n'empêche qu'à l'aube de la sortie de Chrome OS, Google se serait bien passé de cette publicité.

En seconde position du top 10 nous retrouvons le navigateur d'Apple Safari avec 60 vulnérabilités répertoriées sur la même période. Le moteur de rendu WebKit, dans les moutures 4.x, 4.1.2 et 5.x avant la version 5.02 permet à une personne malintentionnée d'exécuter du code à distance ou des attaques DDoS avec une simple page HTML. Une dizaine de failles ont été listées pour la version mobile de l'application sur les versions antérieures à iOS 4.1.

Toujours sur cette même période, la suite bureautique Microsoft Office comportait pour sa part 57 failles critiques contre 54 pour Adobe Reader et Acrobat, 51 pour Firefox et 32 pour Internet Explorer (6 à 8). Pour retrouver la liste dans son intégralité, rendez-vous ici.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours