Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Contrast Security analyse les attaques et les vulnérabilités des applications pour que les équipes AppSec puissent ajuster et améliorer la sécurité

novembre 2019 par Contrast Security

Contrast Security présente son rapport pour octobre 2019 des attaques et vulnérabilités. Il utilise des données provenant d’attaques que Contrast Security a observées au cours des mois précédents et met en évidence les principales tendances observées.

Les principales observations pour octobre 2019 :

- Les vulnérabilités sérieuses les plus répandues dans les applications observées étaient : Cross-Site Scripting, Arbitrary Server Side Forwards et Cross-Site Request Forgery.

- Les types d’attaques les plus courantes concernaient : SQL Injection, Cross-Site Scripting (XSS) et Path Traversal pour le troisième mois consécutif.

- Moins de 1% de ces attaques étaient liées à une vulnérabilité au sein d’une application. Les 99% restants étaient des sondes et n’étaient pas reliées à une vulnérabilité dans l’application cible, illustrant l’importance pour les équipes d’être capables de distinguer les attaques inefficaces et efficaces.

Les principales vulnérabilités

- Du code source : les applications présentaient en moyenne 5 vulnérabilités graves et ouvertes en octobre contre 6 en septembre.

- Par langage : les applications Java et .NET ont enregistré le plus grand nombre d’attaques.

Les attaques

Les attaques sur le code source ont représenté 99% des attaques en octobre 2019. Le graphique ci-dessous montre la probabilité qu’une vulnérabilité ait été signalée pour une application et la probabilité d’une attaque sur ces vulnérabilités au cours du mois d’octobre.

The trois premiers types d’attaque en octobre sont :

- SQL Injection • Des entrées soigneusement conçues qui modifient les requêtes SQL qu’une application utilise pour voler des données ou exécuter du code. • 53 % de toutes les attaques en octobre • Cible : 59 % des applications.
- Cross-site Scripting (XSS) • Les attaques XSS injectent des scripts malveillants dans des sites Web fiables. • 2 % des attaques en octobre, en baisse d’environ 50 % par rapport à septembre. • Cible : 57 % des applications.
- Path Traversal • Les attaques trompent une application web dans la lecture et exposent par conséquent le contenu des fichiers en dehors du répertoire racine du document de l’application ou du serveur web. • 1 % de toutes les attaques en octobre • Cible : 48 % des applications.

89% des applications ont été touchées par l’une de ces trois attaques au cours du mois. Le graphique ci-dessous montre le changement d’attaques par application d’un mois sur l’autre.

Attaques par géolocalisation

En octobre 2019, 127 pays ont été attaqués. Le plus grand nombre d’attaques provenaient des États-Unis, de l’Inde, des Pays-Bas, du Canada, des Pays-Bas et des Philippines.

La carte ci-dessous illustre le nombre d’attaques provenant de chaque pays, la couleur la plus foncée représentant le plus grand nombre d’attaques et la plus claire les attaques les moins nombreuses. Nous n’avons observé aucune attaque dans les pays figurant en gris.




Voir les articles précédents

    

Voir les articles suivants