Que signifie l’acronyme OWASP?
Open Web Application Security Project
Communauté en ligne qui travaille sur la sécurité des applications web.
Comment l’OWASP constitue-t-il son Top 10? (4)
- Collecte de données sur menaces récentes,
- Analyse par experts
- Vote communautaire sur failles émergentes
- Constitution du top 10 (8 failles basées sur données, 2 sur votes).
Quelle est la formule de calcul du risque selon OWASP?
Risque = (Exploitabilité + Prévalence + Détectabilité) × (Impact technique + Impact d’affaire)
Qu’est-ce que le Broken Acess Control?
Mauvaise gestion de règles d’accès où un utilisateur peut accéder à une ressource qui ne lui appartient pas
Quelle vulnérabilité est #1 du Top 10 Web 2025?
Broken Access Control
Donnez 3 exemples de “Broken Access Control”.
- Contournement des autorisations (manipulation d’URLs)
- Voir ou éditer le compte d’un autre usager
- Manipulation de données comme JWT.
Qu’est-ce que Security Misconfiguration?
- Compte/mot de passe par défaut
- Messages d’erreur révélateurs avec stacktrace
- Valeurs non-sécuritaires par défaut
- Fonctionnalités en surplus non-utilisées.
Que couvre Software Supply Chain Failures?
- Composantes vulnérables ou pas à jour
- Mauvaise connaissance des versions utilisées
- Pas de scan de vulnérabilités régulier
- CI/CD non sécurisé.
Donnez 3 exemples de Cryptographic Failures.
- Utilisation de protocole texte en clair (HTTP, FTP)
- Algorithmes dépassés ou faibles
- Validation incorrecte du certificat x.509.
Qu’est-ce qui cause une vulnérabilité d’injection?
- Aucune validation des inputs (validations, filtres, sanitization
- Requêtes dynamiques non-paramétrées
- Pollution des requêtes avec données hostiles.
Quels sont 3 failles d’authentification?
- Brute Force possible
- Mots de passe faibles acceptés
- Pas de MFA
- Stockage des mdp mal sécurisé
Que sont les Logging and Alerting Failures?
- Actions importantes non loggées
- Logs de faible qualité
- Logs non analysés pour détecter des événements suspects
- Mauvais stockage permettant la destruction/falsification
Qu’est-ce que Mishandling of Exceptional Conditions?
- Échec de prévenir
- Identifier ou répondre adéquatement à une situation exceptionnelle
Combien d’entrées du Top 5 API concernent l’autorisation?
3 sur 5 (et 4 sur 5 avec l’authentification).
Qu’est-ce que BOLA?
Broken Object Level Authorization
Un utilisateur peut manipuler l’accès pour voir les objets d’autres utilisateurs (ex: GET/account/{user_id})
Donnez 3 exemples de Broken Authentication pour les APIs.
- Permet credential stuffing ou brute-force
- Envoie infos sensibles via URL
- Ne valide pas correctement les JWT
Qu’est-ce que BOPLA et comment se prévenir de cette faille?
Broken Object Property Level Authorization
* Expose des infos sensibles d’un objet
* Permet de changer des prorpiétés sans autorisation (Mass Assignment)
Prévention
* Utilisation de DTO et de convertisseurs
Qu’est-ce que Unrestricted Resource Consumption en ce qui concerne les APIs (7)?
Un API qui ne limite pas:
* Temps de timeout
* Mémoire allouable
* Nombre de processus
* Taille de fichier
* Nombre d’opérations par client
* Nombre d’enregistrements dans réponse
* Nombre de requêtes payantes envoyées
Qu’est-ce que BFLA?
Broken Function Level Authorization
Expose des fonctionnalités à des utilisateurs qui n’ont pas les droits de les voir (ex: route admin insuffisamment protégée pour des utilisateurs normaux).
Que signifie SAMM?
Software Assurance Maturity Model
Quelles sont les 5 fonctions métier de SAMM?
- Governance
- Design
- Implementation
- Verification
- Operations
Nommez les 3 pratiques de sécurité sous Governance.
- Strategy & Metrics
- Policy & Compliance
- Education & Guidance
Que signifie ASVS et quel est son but?
Application Security Verification Standard
Cadre de vérification définissant les requis de sécurité pour le design, le développement et les tests des applications modernes.
Combien de catégorie contient l’ASVS?
17 catégories
