blog post

Sortie du Top 10 OWASP 2021 – Quoi de neuf !!

Après 4 ans, les vulnérabilités OWASP TOP 10 2021 ont été publiées avec des vulnérabilités nouvellement ajoutées dans la liste et ont apporté des modifications aux positions précédentes de la liste des vulnérabilités OWASP TOP 10 2017.

La nouvelle liste de vulnérabilités a été classée en considérant divers faits, analyses, collections CVE dans lesquelles l'équipe OWASP a collecté environ 30 à près de 400 CWE à analyser dans l'ensemble de données.

Au cours de l'analyse et de la recherche pour l'attribution des positions CVE, l'équipe OWASP a pris en compte divers faits dans la gravité de l'attaque et a passé plusieurs mois à regrouper et à catégoriser les CWE.

Enfin, retrouvez la cause première de l'attaque telle que « Echec cryptographique » et « Mauvaise configuration » pour dresser la liste OWASP TOP 10 2021, car il est plus logique pour fournir des conseils d'identification et de remédiation.

Facteurs de données

Pour la liste OWASP TOP 10 2021, l'équipe OWASP s'est également concentrée sur l'utilisation des données pour l'exploitabilité et l'impact. ils ont également téléchargé OWASP Dependency-Check et extrait les scores CVSS Exploit et Impact regroupés par CWE connexes.
 

la toile

« Pour dresser une liste des 10 meilleurs, l'équipe OWASP a regroupé tous les CVE avec des scores CVSS par CWE et pondéré à la fois l'exploit et l'impact notés par le pourcentage de la population qui avait CVSSv3 + la population restante des scores CVSSv2 pour obtenir une moyenne globale ».

Les facteurs de données suivants sont utilisés pour chacune des listes OWASP TOP 10 2021 : -

Facteurs de données

  • CWE mappés : nombre de CWE mappés à une catégorie par l'équipe du Top 10.

  • Taux d'incidence : le taux d'incidence est le pourcentage d'applications vulnérables à ce CWE parmi la population testée par cette organisation pour cette année.

  • Couverture (Test) : Le pourcentage d'applications testées par toutes les organisations pour un CWE donné.

  • Exploit pondéré : le sous-score Exploit des scores CVSSv2 et CVSSv3 attribués aux CVE mappés aux CWE, normalisés et placés sur une échelle de 10 points.

  • Impact pondéré : le sous-score d'impact des scores CVSSv2 et CVSSv3 attribués aux CVE mappés aux CWE, normalisés et placés sur une échelle de 10 pts.

  • Nombre total d'occurrences : nombre total d'applications trouvées pour lesquelles les CWE sont mappés à une catégorie.

  • Nombre total de CVE : nombre total de CVE dans la base de données NVD qui ont été mappés aux CWE mappés à une catégorie.

Changements du Top 10 de l'OWASP 2021 : -

OWASP introduit 3 nouvelles catégories pour cette nouvelle liste des principales vulnérabilités qui sont A08:2021- Conception non sécurisée (4e position), A08:2021- Défaillances du logiciel et de l'intégrité des données (8e position), A10:2021- Contrefaçon de requête côté serveur (10e position) ).

A01: 2021-Contrôle d'accès cassé

L'équipe OWASP a classé les vulnérabilités de contrôle d'accès brisé en première position, et elle est passée de la 5e position sur la liste OWASP TOP 10 2017. Pour attribuer cette position, l'équipe OWASP a testé 94% des applications avec des logiciels d'authentification brisée et y a également mappé 34 CWE.

02:2021-Échecs cryptographiques

Les défaillances cryptographiques sont classées n ° 2, passant de la position ° 3 dans la liste de 2017 où elles étaient dénommées « Exposition de données sensibles », et cela en tenant compte du « symptôme ». Étant donné que la liste actuelle se focalise sur la cause racine, la cryptographie est une préoccupation majeure pour la fuite de données sensibles.

A03: 2021-Injection

Les attaques par injection sont descendues à la position n°3 dans ce TOP 10 OWASP 2021 à partir de la position n°1 dans la liste 2017. Dans cette catégorie d'attaque par injection, il y a 33 CWE mappés, y compris le bogue Cross-site Scripting (XSS) qui était en 7 position dans la liste précédente.

A04: 2021-Conception non sécurisée

La conception non sécurisée est une nouvelle catégorie ajoutée dans la liste OWASP TOP 10 2021 et répertoriée en quatrième position. Vulnérabilité de conception non sécurisée axée sur les risques liés aux défauts de conception.

A05:2021-Mauvaise configuration de la sécurité

La configuration de la sécurité est passée de la position 6 à la position 5, et la vulnérabilité a été testée sur 90 % des applications. L'équipe OWASP a délimité les entités externes XML de la liste 2017 et les a fusionnées avec cette mauvaise configuration de sécurité.

A06: 2021-Composants vulnérables et obsolètes

Il s'agit d'un titre alternatif de « Utilisation de composants présentant des vulnérabilités connues » qui a été répertorié en 9e position dans la liste de 2017. Maintenant, il est déplacé jusqu'à la position #6. L'équipe OWASP a déclaré qu'il s'agit de la seule catégorie à ne pas avoir de CVE mappé sur le CWE inclus, à la place, des exploits par défaut et des poids d'impact de 5,0 ont été considérés pour mapper cette position.

A07:2021-Échecs d'identification et d'authentification

Auparavant, elle était connue sous le nom d'authentification brisée qui était répertoriée en position n°2 et déplacée en position n°7. Cette catégorie fait toujours partie intégrante du Top 10, mais la disponibilité accrue de référentiels standardisés semble y aider. OWASP a dit.

A08 : 2021-Défaillances du logiciel et de l'intégrité des données

Défaillances du logiciel et de l'intégrité des données est une nouvelle donnée dans la liste OWASP Top 10 2021, et cette vulnérabilité se concentre sur les mises à jour logicielles, les données critiques et les pipelines CI/CD sans vérifier l'intégrité. De plus, l'équipe OWASP a fusionné une désérialisation non sécurisée à partir de 2017.

A09:2021-Échecs de journalisation et de surveillance de sécurité

Il était auparavant connu sous le nom de Surveillance et surveillance insuffisantes, qui était répertoriée dans la position #10 et déplacée jusqu'à la position #9. L'échec de la correction de cette vulnérabilité entraînera une visibilité d'impact, des alertes d'incident et des analyses.

A10 : 2021- Contrefaçon de requête côté serveur

SSRF est répertorié dans la position #10 à l'aide d'une enquête industrielle. Les données montrent un taux d'incidence relativement faible avec une couverture de test supérieure à la moyenne, ainsi que des notes supérieures à la moyenne pour le potentiel d'exploitation et d'impact. dit OWASP.