Introducing
Your new presentation assistant.
Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.
Trending searches
A04 insecure design
16
A04 insecure design
Ben Amor sirine
Chouchene Rahma
Introduction
Qu'est - ce que OWASP TOP 10?
introduction
OWASP(OuvertWebProjet de sécurité des applications)C'est une communauté ouverte,Par un organisme sans but lucratif OWASPProjets soutenus par la Fondation.Ouvert à tous ceux qui s'engagent à améliorer la sécurité des applications.
Ce qui a changé dans le Top 10 pour 2021 ?
Il y a trois nouvelles catégories, quatre catégories avec des changements de nom et de portée, et une certaine consolidation dans le Top 10 pour 2021. les noms sont changées pour se concentrer sur la cause première plutôt que sur le symptôme.
owasp 2021
owasp 2021
définition
définition
A04-Insecure Design Une nouvelle catégorie pour 2021 se concentre sur les risques liés aux défauts de conception et d'architecture, avec un appel à une plus grande utilisation de la modélisation des menaces, des modèles de conception sécurisés et des architectures de référence.
son objectif est de souligner l'importance de pousser à gauche pour inclure la sécurité le plus tôt possible dans le cycle de vie des applications.
Conception non sécurisé
La conception non sécurisée est une vaste catégorie représentant différentes faiblesses, exprimées par « conception de contrôle manquante ou inefficace ». .
L'un des facteurs qui contribuent à la conception non sécurisée est le manque de profilage des risques commerciaux inhérent au logiciel ou au système en cours de développement,
Si les choses sont mal faites, bien sûr toutes sortes de problèmes peuvent survenir
conception non sécurisé
les problèmes
- Des limites d'entrée utilisateur manquantes peuvent entraîner des problèmes tels que des débordements de mémoire tampon
- L'utilisation d'API ou de fonctions non sécurisées peut entraîner des compromis : pensez à utiliser des nombres aléatoires sans aucune graine par exemple ou à extraire une archive sans prendre en considération les chemins absolus ou relatifs que peuvent avoir les fichiers embarqués.
- Applications utilisant des privilèges plus élevés que requis.
les problèmes
Conception dangereuse - Comment prévenir
Avec AppSec Les professionnels établissent et utilisent un cycle de vie de développement sûr,Pour aider à évaluer et à concevoir les contrôles liés à la sécurité et à la protection des renseignements personnels
Conception dangereuse
Cycle de vie de développement sécurisé
Un logiciel sécurisé nécessite un cycle de vie de développement sécurisé,
* une certaine forme de modèle de conception sécurisé,
*une méthodologie de route pavée
* une bibliothèque de composants sécurisés, *des outils et une modélisation des menaces.
cycle de vie
Scénario n° 1
exemples de sénarios
Un flux de travail de récupération d'informations d'identification peut inclure des « questions et réponses », ce qui est interdit par le NIST 800-63b, l'OWASP ASVS et le Top 10 de l'OWASP. Les questions et les réponses ne peuvent pas être considérées comme une preuve d'identité en tant que plus d'une personne. peut connaître les réponses, c'est pourquoi elles sont interdites. Un tel code doit être supprimé et remplacé par une conception plus sécurisée.
Scénario n°2
Scénario n°2
Une chaîne de cinéma permet des réductions sur les réservations de groupe et compte un maximum de quinze participants avant d'exiger un acompte. Les attaquants pourraient menacer de modéliser ce flux et de tester s'ils pouvaient réserver six cents places et tous les cinémas à la fois en quelques demandes, provoquant une perte massive de revenus.
Scénario n°3
Scénario 3
Le site Web de commerce électronique d'une chaîne de vente au détail n'est pas protégé contre les robots gérés par des scalpers achetant des cartes vidéo haut de gamme pour revendre des sites Web d'enchères. Cela crée une publicité terrible pour les fabricants de cartes vidéo et les propriétaires de chaînes de vente au détail et une méchanceté persistante avec des passionnés qui ne peuvent pas obtenir ces cartes à n'importe quel prix. Des règles prudentes de conception anti-bot et de logique de domaine, telles que les achats effectués dans les quelques secondes suivant la disponibilité, peuvent identifier des achats non authentiques et rejeter de telles transactions.
Correction de conception non sécurisée
Les principes de conception sécurisée doivent être suivis et respectés pendant toute la durée de vie de l'application/des services
Correction de conception non sécurisée
Des audits de code et des pentests réguliers sont un bon moyen d'assurer la sécurité des produits. C'est un conseil général qui aiderait à détecter et à atténuer la plupart des problèmes
solution
solution
Séparez les couches de niveau et les couches réseau sur le système, en fonction des exigences d'exposition et de protection
Appliquer des méthodes de modélisation des menaces à l'authentification critique, au contrôle d'accès, à la logique métier et aux flux de clés