Ce rapport s’appuie sur les données que Contrast Security a observées au cours des deux derniers mois pour mettre en évidence les principales tendances et les informations utiles dans leur contexte. Les développeurs, product owners, AppSec et ingénieurs en sécurité peuvent utiliser ces informations pour mieux comprendre les menaces à la sécurité des applications, ajuster les contrôles de sécurité et améliorer leur posture de sécurité.

Les principales observations

• Les vulnérabilités sérieuses les plus répandues dans les applications que nous avons observées étaient : Cross-Site Scripting (XSS), Path Traversal et Cross-Site Request Forgery.
• Le nombre de nouvelles vulnérabilités signalées dans les applications utilisant Contrast a été constant en novembre et décembre.
• Pour le quatrième mois consécutif, les types d’attaques les plus courants concernaient : Cross-Site Scripting (XSS), Path Traversal et SQL Injections.
• Moins de 1 % des attaques étaient liées à une vulnérabilité au sein d’une application. Les 99+% restants étaient des sondes et n’étaient pas reliées à une vulnérabilité dans l’application cible, ce qui illustre l’importance pour les équipes de pouvoir distinguer les attaques inefficaces et efficaces.

Liste rouge
Une attaque réussie sur une vulnérabilité peut avoir un impact énorme sur de nombreuses organisations. Il est essentiel que les équipes de sécurité connaissent et gèrent correctement les vulnérabilités des bibliothèques, tout en se préparant à d’éventuelles attaques. Sur la base des recherches présentées dans ce rapport, Contrast Labs a établi une liste restreinte des vulnérabilités qui présentent le plus grand risque pour les organisations. Cette liste a été établie en combinant la probabilité d’une vulnérabilité et d’une attaque avec la probabilité d’une exploitation réussie et un facteur d’impact. Ci-dessous la liste rouge de décembre 2019 :
• Cross-Site Scripting (XSS) - 3% des attaques en décembre - 74% des applications visées : Les attaques XSS injectent des scripts malveillants dans des sites web fiables. Les attaques XSS ont accès au code vulnérable quatre fois plus souvent que les attaques visant Path Traversal. En cas de succès, un pirate peut accéder à des cookies, des jetons de session et d’autres informations sensibles conservées dans le navigateur. _
• Path Traversal - 2% des attaques en décembre - 74% des applications visées : Les attaques trompent une application web en lisant et par conséquent en exposant le contenu des fichiers en dehors du répertoire racine du document de l’application ou du serveur web. En décembre, Path Traversal a été classé au deuxième rang des vulnérabilités les plus courantes.
• SQL Injection - 53% des attaques en décembre - 58% des applications visées : Bien que les attaques par SQL Injection atteignent rarement le code vulnérable des applications, ce type d’attaque s’est répandu en décembre, vulnérabilité ouverte commune avec un niveau de gravité le plus élevé. En exploitant une vulnérabilité dans les requêtes SQL d’une application, un pirate peut voler des données, corrompre une base de données, usurper des identités, altérer des transactions, divulguer des informations sensibles et même devenir administrateur du serveur de base de données.

Vulnérabilités

Les applications dont le code est vulnérable ont été victimes de 4 nouvelles vulnérabilités sérieuses en décembre (inférieur à octobre et stable par rapport à novembre). Les 5 principales vulnérabilités graves les plus fréquentes ont été signalées dans le code pour la première fois en décembre :
• Cross-Site Scripting (XSS) : Vulnérabilités lorsque des données non fiables se retrouvent dans une page HTML sans validation et sortie correctes.
• Patch Traversal : Vulnérabilités permettant aux utilisateurs de contrôler quels fichiers sont ouverts et lus par une application.
• SQL Injection : Vulnérabilités existant chaque fois qu’un développeur prend des données non fiables (comme quelque chose que vous soumettez dans une URL ou un formulaire web) et les formate dans une requête de base de données.
• Arbitrary Server Side Forwards : Vulnérabilités permettant à une application web d’accepter une entrée modifiée qui pourrait faire en sorte que l’application web transmette la requête à une URL non fiable.
• Header Injection : Vulnérabilités permettant à des données non fiables d’être utilisées dans une en-tête HTTP.
Attaques par géolocalisation

En décembre 2019, 108 pays ont été attaqués. Le plus grand nombre d’attaques provenaient des États-Unis, de la Chine, de l’Inde, du Japon et du Canada. Le Japon a fait un bond en passant de la 7e place à la 4e des pays attaquants.
La carte ci-dessous illustre le nombre d’attaques provenant de chaque pays, la couleur la plus foncée représentant le plus grand nombre d’attaques et la plus claire les attaques les moins nombreuses. Nous n’avons observé aucune attaque dans les pays figurant en gris.