What is an Application Vulnerability?

Commune application vulnérabilité Exploits

Bien que de nouveaux exploits et des "zero days" soient créés régulièrement, ceux-ci tirent souvent parti d'un petit ensemble de vulnérabilités. Nombre de ces vulnérabilités sont connues depuis des années mais continuent d'apparaître dans le code application.

La liste Top Ten de l'OWASP est une ressource bien connue qui met en évidence certaines des vulnérabilités les plus courantes et les plus importantes qui apparaissent sur le site application (en particulier sur le site web application). La version actuelle de la liste OWASP Top Ten a été publiée en 2021 et comprend les dix vulnérabilités suivantes :

1. Contrôle d'accès défaillant
2. Défaillances cryptographiques
3. Injection
4. Conception incertaine
5. Mauvaise configuration de la sécurité
6. Composants vulnérables et obsolètes
7. Défauts d'identification et d'authentification
8. Défauts d'intégrité des logiciels et des données
9. Défaillances dans l'enregistrement et la surveillance de la sécurité
10. Falsification de requête côté serveur

Cette liste décrit les classes générales de vulnérabilité en mettant l'accent sur les causes profondes d'un problème. L'énumération des points faibles communs (Common Weaknesses Enumeration - CWE) fournit des informations sur des cas spécifiques d'un problème particulier. Chacune des vulnérabilités du Top Ten de l'OWASP contient une liste d'un ou plusieurs CWE associés. Par exemple, la rubrique "Cryptographic Failures" (défaillances cryptographiques) comprend une liste de vingt-neuf CWE cartographiés, tels que l'utilisation d'une clé cryptographique codée en dur ou une vérification incorrecte des signatures cryptographiques.

Moyens de remédier à la vulnérabilité de application

Alors que les équipes de développement adoptent les pratiques DevSecOps, l'automatisation de la gestion de la vulnérabilité est essentielle pour garantir la sécurité tout en atteignant les objectifs de développement et de mise en production. Les équipes de développement peuvent utiliser divers outils pour identifier la vulnérabilité de application, notamment

• Test de sécurité statique application (SAST) : Les outils SAST analysent le code source d'une application sans l'exécuter. Cela permet d'identifier certaines vulnérabilités dès le début du cycle de développement du logiciel, alors que l'application n'est pas encore en état de fonctionner.
• Test de sécurité dynamique application (DAST) : Les solutions DAST interagissent avec une application en cours d'exécution, en effectuant une évaluation de la vulnérabilité en boîte noire. Les outils DAST sont conçus pour rechercher des vulnérabilités connues et inconnues au sein d'une application en envoyant des entrées malveillantes courantes ainsi que des requêtes aléatoires et malformées générées à l'aide de la méthode Fuzzing.
• Test de sécurité interactif application (IAST) : Les solutions IAST utilisent l'instrumentation pour obtenir une visibilité sur l'exécution de application. Grâce à cette visibilité interne, les solutions IAST peuvent identifier des problèmes qui pourraient ne pas être détectés avec une approche DAST "boîte noire".
• Analyse de la composition des logiciels (SCA) : La plupart des sites application incluent du code tiers, tel que des bibliothèques et des dépendances, qui peuvent également contenir des vulnérabilités exploitables. SCA offre une visibilité sur le code externe utilisé dans une application, ce qui permet d'identifier et de remédier aux vulnérabilités connues dans ce logiciel.

Un flux de travail DevSecOps efficace intégrera la plupart ou la totalité de ces approches dans des pipelines CI/CD automatisés. Cela maximise la probabilité que la vulnérabilité soit identifiée et corrigée aussi rapidement que possible, tout en minimisant les frais généraux et les perturbations pour les développeurs.