Open Web Application Security Project

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.

La fondation OWASP est une organisation charitable enregistrée 501©3 aux États-Unis depuis 2004 et enregistrée en Europe depuis juin 2011 en tant qu’Organisation à but non lucratif qui supporte les infrastructures et projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la sécurité des systèmes d'information pour ses travaux et recommandations liées aux applications Web.

Historique[modifier | modifier le code]

OWASP a été créé par Mark Curphey le 9 septembre 2001. Jeff Williams a été nommé président bénévole de fin 2003 et a été remplacé par Tobias Gondrom en septembre 2011.

Quatre mois avant la publication du mémo de Bill Gates « trustworthy computing » (qui traitait de la nécessité avec la plus haute priorité d’avoir des systèmes informatiques sécurisés et fiables) la communauté OWASP a été créée en septembre 2001 avec pour objectif de donner des éléments, informations et solutions, aux développeurs pour prendre des décisions en matières de sécurisation de leur applications Web[1].

Projets[modifier | modifier le code]

Les projets les plus connus sont :

Top Ten OWASP[modifier | modifier le code]

Le but de ce projet est de fournir une liste des dix risques de sécurité applicatifs Web les plus critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité : il est cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information (DoD, PCI Security Standard). En 2013, OWASP a mis à jour son classement en lançant le Top Ten OWASP 2013 qui a pour objectif de sensibiliser les développeurs sur les failles Web les plus importantes. La majorité des audits de sécurité informatique Web sont basées sur ce Top Ten.

Les dix risques du Top Ten par ordre de dangerosité[2] :

  1. The Injection : correspond au risque d’injection SQL, SHELL ...
  2. Broken Authentification and Session Management : correspond au risque de casser la gestion de l’authentification et de la session. Comprend notamment le vol de session ou la récupération de mots de passe.
  3. Cross-Site Scripting : correspond au XSS soit l’injection de contenu dans une page, ce qui provoquent des actions non désirées sur une page Web. Les failles XSS sont particulièrement répandues parmi les failles de sécurités Web.
  4. Insecure Direct Object References : correspond aux failles de sécurité des ID de données visualisées. Nécessite de mettre en place un contrôle d’accès aux données.
  5. Security Misconfiguration : correspond aux failles de configuration liés aux serveurs Web, applications, base de données ou framework.
  6. Sensitive Data Exposure : correspond aux failles de sécurité liées aux données sensibles comme les mots de passe, les numéros de carte de crédit ou encore les données personnelles et la nécessité de crypter ces données.
  7. Missing Function Level Access Control : correspond aux failles de sécurité liés aux accès de fonctionnalité.
  8. Cross-Site Request Forgery (CSRF) : correspond aux failles liées à l’exécution de requêtes à l’insu de l’utilisateur.
  9. Using Components with Known Vulnerabilities : correspond aux failles liées à l’utilisation de composants tiers.
  10. Unvalidated Redirects and Forwards : correspond aux faillies liées aux redirect et forward générique des applications. 

WebGoat[3][modifier | modifier le code]

Il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web.

WebScarab[4][modifier | modifier le code]

Il s'agit d'un proxy disposant de nombreuses fonctionnalités utiles lors de la réalisation d'audits de sécurité. En plus de proposer à l'utilisateur de visualiser les requêtes échangées avec un serveur Web, il est possible de modifier ces requêtes, d'analyser les session ID, etc.

OWASP Testing Guide[5][modifier | modifier le code]

Il s'agit d'un document de plusieurs centaines de pages destiné à aider une personne à évaluer le niveau de sécurité d'une application Web.

OWASP Code Review Guide[6][modifier | modifier le code]

Il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité.

Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP, etc.

Notes et références[modifier | modifier le code]

Liens externes[modifier | modifier le code]