Open Web Application Security Project

Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.

La fondation OWASP est une organisation caritative enregistrée 501(c)(3) aux États-Unis depuis 2004 et enregistrée en Europe depuis en tant qu’Organisation à but non lucratif qui supporte les infrastructures et projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la sécurité des systèmes d'information pour ses travaux et recommandations liées aux applications Web.

Historique

OWASP a été créé par Mark Curphey le . Jeff Williams a été nommé président bénévole à partir de fin 2003 et a été remplacé par Tobias Gondrom en .

Quatre mois avant la publication du mémo de Bill Gates « trustworthy computing » (qui traitait de la nécessité avec la plus haute priorité d’avoir des systèmes informatiques sécurisés et fiables) la communauté OWASP a été créée en avec pour objectif de donner des éléments, informations et solutions, aux développeurs pour prendre des décisions en matières de sécurisation de leur applications Web[1].

Projets

Les projets les plus connus sont :

Top Ten OWASP

Le but de ce projet est de fournir une liste des dix risques de sécurité applicatifs Web les plus critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité : il est cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information (DoD, PCI Security Standard). En 2013, OWASP a mis à jour son classement en lançant le Top Ten OWASP 2013 qui a pour objectif de sensibiliser les développeurs sur les failles Web les plus importantes. La majorité des audits de sécurité informatique Web est basée sur ce Top Ten.

Les dix risques du Top Ten par ordre de dangerosité[2] :

  1. The Injection : correspond au risque d’injection SQL, shell...
  2. Broken Authentification and Session Management : correspond au risque de casser la gestion de l’authentification et de la session. Comprend notamment le vol de session ou la récupération de mots de passe.
  3. Cross-Site Scripting : correspond au XSS soit l’injection de contenu dans une page, qui provoquent des actions non désirées sur une page Web. Les failles XSS sont particulièrement répandues parmi les failles de sécurités Web.
  4. Insecure Direct Object References : correspond aux failles de sécurité des ID de données visualisées. Nécessite de mettre en place un contrôle d’accès aux données.
  5. Security Misconfiguration : correspond aux failles de configuration liées aux serveurs Web, applications, base de données ou framework.
  6. Sensitive Data Exposure : correspond aux failles de sécurité liées aux données sensibles comme les mots de passe, les numéros de carte de paiement ou encore les données personnelles et la nécessité de chiffrer ces données.
  7. Missing Function Level Access Control : correspond aux failles de sécurité liés aux accès de fonctionnalité.
  8. Cross-Site Request Forgery (CSRF) : correspond aux failles liées à l’exécution de requêtes à l’insu de l’utilisateur.
  9. Using Components with Known Vulnerabilities : correspond aux failles liées à l’utilisation de composants tiers.
  10. Unvalidated Redirects and Forwards : correspond aux failles liées aux redirect et forward générique des applications. 

Une mise à jour de ce top ten a été publiée en 2017, elle est disponible sur le site de l'Owasp.

WebGoat[3]

Il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web.

WebScarab[4]

Il s'agit d'un proxy disposant de nombreuses fonctionnalités utiles lors de la réalisation d'audits de sécurité. En plus de proposer à l'utilisateur de visualiser les requêtes échangées avec un serveur Web, il est possible de modifier ces requêtes, d'analyser les session ID, etc.

OWASP Testing Guide[5]

Il s'agit d'un document de plusieurs centaines de pages destiné à aider une personne à évaluer le niveau de sécurité d'une application Web.

OWASP Code Review Guide[6]

Il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité.

Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP, etc.

Notes et références
  1. « The Start of OWASP – A True Story »
  2. « OWASP Top Ten Project »
  3. « OWASP WebGoat »
  4. « OWASP WebScarab »
  5. « OWASP Testing Guide »
  6. « OWASP Code Review »

Liens externes
  • Portail de la sécurité de l’information
  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.