Un nouveau rapport de HackerOne comptabilise les types de vulnérabilités les plus critiques en 2020. La plateforme de sécurité collaborative regroupe une communauté de hackers intéressés par des programmes rémunérés de bug bounty. Sa communauté de hackers a déjà permis de détecter plus de 200 000 vulnérabilités, ce qui lui permet d’établir cette édition du top 10 des types de vulnérabilités les plus importantes et les plus récompensées de HackerOne.
Elle est basée sur les données examinant les faiblesses de sécurité résolues sur la plateforme entre mai 2019 et avril 2020. Les vulnérabilités incluses ici ont été signalées par la communauté des hackers par le biais de divulgations de vulnérabilités et de programmes de bug bounty publics et privés. Toutes les classifications de vulnérabilités ont été faites ou confirmées par les clients de HackerOne, y compris le type de faiblesse, l’impact et la gravité.
Le top 10 des vulnérabilités les plus critiques de 2020
- Cross-site Scripting (XSS)
- Accès non autorisé (Improper Access Control)
- Divulgation d’informations
- Falsification de requêtes côté serveur (SSRF)
- Référence directe d’objet non sécurisé (IDOR)
- Escalade des privilèges
- Injection SQL
- Authentification incorrecte
- Injection de code
- Falsification de requête intersites (CSRF)
Les vulnérabilités de type Cross-site Scripting (XSS) restent une menace majeure pour les applications web, car les attaquants peuvent prendre le contrôle du compte de l’utilisateur et dérober des informations personnelles telles que les mots de passe, les numéros de compte bancaire, les informations relatives aux cartes de crédit, les informations d’identification personnelle (IIP), les numéros de sécurité sociale, etc.
Les vulnérabilités XSS figurent parmi les plus récompensées depuis deux ans, et ont coûté aux entreprises un total de 4,2 millions $, soit une augmentation de 26 % en un an. Si ces bugs représentent 18 % des vulnérabilités signalées, la récompense moyenne n’est que de 501 $. Quand on sait que la prime moyenne pour une vulnérabilité critique s’élève généralement à 3 650 $, on en déduit que les entreprises parviennent à atténuer ce risque majeur de manière très rentable.
Les accès non autorisés en hausse
L’exploitation malveillante des accès non autorisés est en hausse de 9 places par rapport à 2019 et la divulgation d’informations (toujours en troisième position) restent des vulnérabilités très fréquentes. Le volume de récompenses pour le contrôle d’accès non autorisé a augmenté de 134 % en un an, atteignant un peu plus de 4 millions $. La divulgation d’informations n’est pas loin derrière, avec une augmentation annuelle de 63 %. Les décisions relatives au contrôle d’accès doivent être prises par des humains, car le risque d’erreurs étant élevé, il est quasiment impossible que ces deux types de vulnérabilités puissent être détectés à l’aide d’outils automatisés.
Les falsifications de requêtes côté serveur (SSRF), qui peuvent être exploitées pour cibler les systèmes internes derrière les pare-feux, confirment que la migration vers le cloud comporte des risques. Situés l’an dernier à la septième place du classement, les bugs SSRF étaient jusqu’à présent relativement bénins, car ils étaient uniquement utilisés pour l’analyse du réseau interne avec parfois un accès aux consoles d’administration internes. Désormais, l’avènement de modèles cloud et de points d’entrée non protégés rend ces vulnérabilités de plus en plus critiques.
La faille SQLi/Injection SQL recule chaque année. Considérée par OWASP et d’autres comme l’une des menaces les plus dangereuses pour les applications web, elle n’occupe plus que la septième place du classement en 2020.