K-OTik : Le classement 2003/04 des vulnérabilités Web les plus critiques

Le classement 2003/04 des vulnérabilités Web les plus critiques

Par Antoine Crochet-Damais (JDNet) - L'Open Web Application Security Project (OWASP) vient de publier la seconde édition de son classement annuel des vulnérabilités Web les plus critiques. Principal enseignement du palmarès 2003: il met en valeur une montée en puissance des attaques par déni de services (DoS). Absent du précédent classement, cette catégorie est désormais positionnée par les experts de OWASP en neuvième position des failles les plus dangereuses.

Mais on notera que le DoS correspond moins à une vulnérabilité qu'à une attaque : elle consiste à envoyer un grand nombre de requêtes vers le serveur Web ciblé, en vue d'entraîner la chute de ce dernier. "Notre étude montre qu'un nombre important de sites de e-commerce sont susceptibles d'essuyer des attaques par DoS dans les mois qui viennent", prévient le cabinet d'analyse dans son commentaire, avant d'indiquer : "nous avons en effet observé de nombreux signes préfigurant ce type d'initiative, des actions visant à récupérer les mots de passe de terminaux Internet par exemple."

Classement des 10 vulnérabilités Web les plus critiques
Palmarès	Type de vulnérabilité	Commentaire
1	Entrée non-validée	Entendez par là des informations renvoyées par les requêtes non-sécurisées, et facilitant éventuellement l'accès à des composants serveurs.
2	Violation de contrôle d'accès	Provenant d'un mauvais paramétrage des restrictions, elle permet par exemple à un utilisateur d'accéder à d'autres comptes, voire d'exploiter certaines fonctions non-autorisées.
3	Violation d'authentification et de session	Fonctions d'exécution de compte ou de session mal-protégées, permettant de violer l'intégrité d'un accès et se faire passer pour un utilisateur accrédité.
4	Cross Site Scripting (XSS)	Dans le cas du XSS, l'application Web pet être exploitée pour s'attaquer au terminal de l'utilisateur - prendre le contrôle de la session de l'OS par exemple.
5	Dépassement de mémoire tampon	Lorsque qu'une application Web est mal réglée en termes de flux d'entrée, elle est alors vulnérable au Buffer overflow : cette attaque peut provoquer un mauvais fonctionnement logiciel. Elle facilite aussi la prise de contrôle de l'application à distance.
6	Faille d'injection	Ce type de faille permet de pirater une requête envoyée par l'application Web à un système de back office (base de données, etc.) en vue d'exécuter une commande non-autorisée sur ce dernier.
7	Traitement d'erreur incorrect	Des processus de traitement d'erreurs mal configurés peuvent permettre dans certains cas à une personne d'accéder à des informations concernant l'OS.
8	Archivage non-sécurisé	Les applications Web dotées de possibilités de chiffrement se révèleraient paradoxalement difficiles à coder, et par conséquent souvent vulnérables.
9	Déni de service	Il ne s'agit pas à proprement parlé d'une vulnérabilité, mais plutôt d'une catégorie d'attaque consistant à envoyer un grand nombre de requêtes vers le serveur Web, en vue le plus souvent d'aboutir à la chute de ce dernier.
10	Configuration non-sécurisée	Cette faille apparaît lorsque le serveur Web supportant l'application a été mal configuré, notamment en termes d'options de sécurité.
Palmarès	Type de vulnérabilité	Commentaire