Le Top10 est le document le plus connu de l’OWASP [1], car cité par de nombreux référentiels comme un guide de bonnes pratiques à respecter. Il est mis a jour régulièrement (2007, 2010, 2013, 2017). Cet article traite du OWASP Top10 2017 (sorti le 20 novembre 2017). Ce document se veut :
- un référentiel pour les personnes devant classifier les risques de sécurité les plus courants d’une application web ;
- un outil d’éducation pour bien faire comprendre les risques de sécurité d’une application web.
Il existe plusieurs Top10 OWASP :
- Top10 Web [2] : s’applique à toute application web. C’est le plus connu et celui que l’on va parcourir ici ;
- Top10 Mobile [3] : s’applique spécifiquement aux applications mobiles ;
- Top10 IoT [4] : s’applique spécifiquement au monde des objets connectés ;
- Top10 des contrôles proactifs [5] : s’applique à tout type d’applications.
1. Pour bien commencer
Le top10 comprend 10 risques qui sont :
- A1 :2017 – Injection ;
- A2 : 2017...
