Classement
des 10 vulnérabilités Web les plus
critiques
|
Palmarès
|
Type
de vulnérabilité
|
Commentaire
|
1
|
Entrée
non-validée
|
Entendez par là des informations renvoyées
par les requêtes non-sécurisées,
et facilitant éventuellement l'accès à
des composants serveurs.
|
2
|
Violation
de contrôle d'accès
|
Provenant
d'un mauvais paramétrage des restrictions, elle
permet par exemple à un utilisateur d'accéder
à d'autres comptes, voire d'exploiter certaines
fonctions non-autorisées.
|
3
|
Violation
d'authentification et de session
|
Fonctions d'exécution de compte ou de session
mal-protégées, permettant de violer l'intégrité
d'un accès et se faire passer pour un utilisateur
accrédité.
|
4
|
Cross
Site Scripting (XSS)
|
Dans
le cas du XSS, l'application Web pet être
exploitée pour s'attaquer au terminal de l'utilisateur
- prendre le contrôle de la session de l'OS par
exemple.
|
5
|
Dépassement
de mémoire tampon
|
Lorsque qu'une application Web est mal réglée
en termes de flux d'entrée, elle est alors vulnérable
au Buffer overflow : cette attaque peut provoquer
un mauvais fonctionnement logiciel. Elle facilite
aussi la prise de contrôle de l'application à
distance.
|
6
|
Faille
d'injection
|
Ce
type de faille permet de pirater une requête envoyée
par l'application Web à un système de back office
(base de données, etc.) en vue d'exécuter une
commande non-autorisée sur ce dernier.
|
7
|
Traitement
d'erreur incorrect
|
Des processus de traitement d'erreurs mal configurés
peuvent permettre dans certains cas à une personne
d'accéder à des informations concernant l'OS.
|
8
|
Archivage
non-sécurisé
|
Les
applications Web dotées de possibilités
de chiffrement se révèleraient paradoxalement
difficiles à coder, et par conséquent
souvent vulnérables.
|
9
|
Déni
de service
|
Il ne s'agit pas à proprement parlé d'une vulnérabilité,
mais plutôt d'une catégorie d'attaque consistant
à envoyer un grand nombre de requêtes vers le
serveur Web, en vue le plus souvent d'aboutir
à la chute de ce dernier.
|
10
|
Configuration
non-sécurisée
|
Cette
faille apparaît lorsque le serveur Web supportant
l'application a été mal configuré,
notamment en termes d'options de sécurité.
|
Palmarès
|
Type
de vulnérabilité
|
Commentaire
|