OWASP Top10 : le palmarès pour 2018

GNU/Linux Magazine HS n° 097 | juillet 2018 | Sébastien Gioria

Actuellement 0 sur 5 étoiles
1
2
3
4
5

Sécurité

Quel développeur ne connaît pas l’OWASP Top10 ? Il semble qu’en 2018 un nombre encore trop important ne le connaît pas, ou mal. Je vous propose donc de vous détailler ce référentiel pour faire en sorte que vos applications web disposent d’un niveau de sécurité considéré suffisant.

Tags : développement, Web

Abonnez-vous ou connectez-vous pour accéder à cet article

Sommaire

1. Pour bien commencer
2. Les différents éléments
- 2.1 L’injection
  - 2.1.1 A1 :2017 – Injection
    - Principe des injections :
    - Empêcher les injections
  - 2.1.2 A4: 2017 – Entités XML externes (XXE)
    - Exemple XXE par la pratique
    - Comment empêcher les injections XXE
  - 2.1.3 A7: 2017 – Cross Site Scripting (XSS)
    - Protection contre les attaques de type XSS
  - 2.1.4 A8: 2017 – Désérialisation non sécurisée
    - Protection contre les attaques de type désérialisation
- 2.2 Les problèmes liés à la configuration
- 2.3 Les problèmes liés au triple A (Authentification, Autorisation, Audit)
  - 2.3.1 A10: 2017 – Traçabilité et supervision insuffisante
Conclusion
Références

Par le même auteur

Le CSRF démystifié et bloqué
GNU/Linux Magazine n° 200 | janvier 2017 | Sébastien Gioria
- Actuellement 0 sur 5 étoiles
- 1
- 2
- 3
- 4
- 5
Sécurité Web
Node.js == Sécurité ?
GNU/Linux Magazine HS n° 085 | juillet 2016 | Sébastien Gioria
- Actuellement 0 sur 5 étoiles
- 1
- 2
- 3
- 4
- 5
Code
Tester la sécurité d'une application Web avec OWASP Zap Proxy
GNU/Linux Magazine HS n° 076 | janvier 2015 | Sébastien Gioria
- Actuellement 0 sur 5 étoiles
- 1
- 2
- 3
- 4
- 5
Sécurité

D'autres articles peuvent vous intéresser

La gestion des incidents de sécurité : un cadre de gouvernance globale

MISC n° 104 | juillet 2019 | Alain Bernard

Droit Sécurité

Une chaîne d’alerte doit s’articuler de façon à ce que le traitement d'un incident de sécurité puisse être effectué efficacement et...

Lire l'extrait
Furtivité des opérations Red Team ou comment suivre une Kill Chain sans se faire voir

MISC n° 104 | juillet 2019 | Charles Ibrahim

Sécurité Système

Quels que soient le périmètre ou les cibles d’une opération Red Team, la furtivité est, sinon indispensable, au moins très souhaitable. Tout...

Lire l'extrait
ModSecurity : mise en place d’un WAF et configurations avancées

MISC n° 104 | juillet 2019 | David Routin

Sécurité Système

Les sites web subissent des attaques permanentes, de par l’évolution des technologies, il devient complexe de s’assurer que l’ensemble du...

Lire l'extrait
Introduction au dossier : Masquez vos attaques pour bien réussir vos missions Red Team

MISC n° 104 | juillet 2019 | Émilien (gapz) Gaspar

Sécurité Système

Il y a quatre ans déjà sortait le hors-série n°12, dédié aux tests d’intrusion avec de nombreux articles touchant à l’approche « Red...

Lire l'extrait
Analyse et interception de flux des téléphones par satellite Iridium

MISC n° 104 | juillet 2019 | Cyril Delétré

Réseau Sécurité

À l´aube de la révolution de la 5G, les réseaux historiques restent ancrés dans notre paysage. Ces réseaux de première génération offrent...

Lire l'extrait
Méthodologie d’OSINT orientée réseaux sociaux

MISC n° 104 | juillet 2019 | Brian Nicolas-Nelson

Sécurité Système

Cet article est un condensé de méthodologies utilisables pour faire de l’OSINT (Open Source INTelligence) orienté sur les informations que...

Lire l'extrait