OWASP Top 10 2024 : les vulnérabilités web les plus critiques à connaître

Qu'est-ce que l'OWASP Top 10

L'OWASP (Open Web Application Security Project) publie tous les 3 à 4 ans un classement des 10 risques de sécurité les plus critiques pour les applications web. Ce document est devenu la référence mondiale en matière de sécurité applicative.

A01 — Broken Access Control

Premier risque depuis 2021, le contrôle d'accès défaillant se produit lorsqu'un utilisateur peut accéder à des ressources ou effectuer des actions au-delà de ses permissions.

Exemple concret : accéder à /admin/users sans être administrateur, ou voir les données d'un autre utilisateur en modifiant un paramètre d'URL (?user_id=123).

A02 — Cryptographic Failures

Anciennement "Sensitive Data Exposure", ce risque couvre les défaillances cryptographiques : données transmises en clair, algorithmes obsolètes (MD5, SHA-1), clés codées en dur dans le code source.

A03 — Injection

Les injections (SQL, NoSQL, commandes OS, LDAP) restent un risque majeur. Elles permettent à un attaquant d'exécuter des commandes non prévues sur votre système.

Une injection SQL classique : SELECT * FROM users WHERE username = ' OR 1=1 --

A04 — Insecure Design

Un risque nouveau dans le Top 10 2021 : les failles de conception. Contrairement aux bugs d'implémentation, ces vulnérabilités viennent d'une architecture mal pensée dès le départ.

A05 — Security Misconfiguration

La misconfiguration est le risque le plus répandu. Headers de sécurité manquants, comptes par défaut non modifiés, messages d'erreur trop verbeux, services inutiles exposés.

A06 — Vulnerable and Outdated Components

Utiliser des bibliothèques, frameworks ou composants avec des vulnérabilités connues. C'est directement lié aux CVE : une version obsolète de jQuery ou WordPress peut exposer votre site à des exploits publics.

A07 — Identification and Authentication Failures

Authentification faible, absence de protection contre le brute force, sessions non invalidées à la déconnexion, mots de passe stockés sans hachage.

A08 — Software and Data Integrity Failures

Absence de vérification de l'intégrité des mises à jour, pipelines CI/CD non sécurisés, désérialisation de données non fiables.

A09 — Security Logging and Monitoring Failures

Sans logs et monitoring, les attaques passent inaperçues. La majorité des brèches mettent des mois à être détectées faute de surveillance adaptée.

A10 — Server-Side Request Forgery (SSRF)

Le SSRF permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes non accessibles depuis l'extérieur.

Comment se protéger concrètement

La protection contre le Top 10 passe par : des revues de code régulières, des tests de sécurité automatisés, la mise à jour des dépendances, et un monitoring continu de la surface d'attaque externe.

WebImpulsion analyse la surface d'attaque externe de vos applications : technologies exposées et leurs CVE, headers de sécurité, chemins sensibles accessibles, et configuration DNS/TLS.