Retour au cours

OWASP Top 10 : Mauvaises configurations de sécurité

Maîtrise de la Cybersécurité : de Zéro à Héros

A05:2021 - Mauvaise configuration de sécurité

Cette catégorie large représente les vulnérabilités découlant d'un mauvais durcissement du système, de systèmes non patchés ou de fonctionnalités inutiles activées.

Mauvaises configurations courantes

  1. Identifiants par défaut : Laisser les noms d'utilisateur et mots de passe par défaut activés (ex : 'admin'/'admin').
  2. Listage de répertoires : Serveurs web permettant accidentellement aux utilisateurs de parcourir toute la structure des dossiers (exposant des fichiers de configuration, du code source ou des sauvegardes).
  3. Services inutiles : Avoir des services non essentiels (comme Telnet ou FTP) actifs sur le serveur web.
  4. Messages d'erreur verbeux : Afficher des informations système sensibles (chaînes de connexion à la base de données, chemins de fichiers) à l'utilisateur lors d'une erreur applicative.
  5. Systèmes non patchés : Utiliser des versions obsolètes de logiciels de serveur web (Apache, Nginx) ou d'OS.

Défense : Implémenter un processus de durcissement strict (Leçon 51), utiliser une gestion de configuration automatisée et s'assurer que les fichiers sensibles sont correctement restreints par les permissions de fichiers.