+RF Détails sur les facteurs de risque
Résumé des 10 principaux facteurs de risque
Le tableau suivant présente un résumé des 10 principaux risques liés à la sécurité des applications pour 2017 et les facteurs de risque que nous avons attribués à chaque risque. Ces facteurs ont été déterminés en fonction des statistiques disponibles et de l'expérience de l'équipe du Top 10 de l'OWASP. Pour comprendre ces risques pour une application ou une organisation particulière, vous devez tenir compte de vos propres agents de menace et de leurs répercussions sur votre entreprise. Même de graves faiblesses logicielles peuvent ne pas présenter un risque sérieux, s'il n'y a pas d'agents de menace en mesure d'effectuer l'attaque nécessaire ou si l'impact commercial est négligeable pour les actifs concernés.
Risques supplémentaires à prendre en considération
Le Top 10 est très efficace, mais il existe de nombreux autres risques qu'il est nécessaire de prendre en compte et d'évaluer dans votre organisation. Certains d'entre eux sont apparus dans des versions précédentes du Top 10, mais ce n'est pas le cas d'autres risques, incluant de nouvelles techniques d'attaques qui sont identifiées en permanence. D'autres risques de sécurité applicatives importants (classés selon le CWE-ID) que vous devriez également considérer sont :
- CWE-352: Cross-Site Request Forgery (CSRF)
- CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion', 'AppDoS')
- CWE-434: Unrestricted Upload of File with Dangerous Type
- CWE-451: User Interface (UI) Misrepresentation of Critical Information (Clickjacking and others)
- CWE-601: Unvalidated Forward and Redirects
- CWE-799: Improper Control of Interaction Frequency (Anti-Automation)
- CWE-829: Inclusion of Functionality from Untrusted Control Sphere (3rd Party Content)
- CWE-918: Server-Side Request Forgery (SSRF)