Un rapport HackerOne révèle dans son Top 10 que le cross-site scripting, les accès non autorisés et la divulgation d’informations représentent les vulnérabilités critiques les plus courantes. Le montant des récompenses pour les avoir découvertes avoisine en moyenne 3 650 $.
La communauté de hackers de la plateforme HackerOne a déjà permis de détecter plus de 200 000 vulnérabilités. Son Top 10 montre les vulnérabilités critiques résolues les plus récompensées par ses hackers entre mai 2019 et avril 2020. La prime moyenne pour avoir détecter une vulnérabilité s’élève généralement à 3 650 $. Les entreprises parviennent donc à atténuer ce risque majeur de manière rentable.
- Cross-site Scripting (XSS)
- Accès non autorisé (Improper Access Control)
- Divulgation d’informations
- Falsification de requêtes côté serveur (SSRF)
- Référence directe d’objet non sécurisé (IDOR)
- Escalade des privilèges
- Injection SQL
- Authentication incorrecte
- Injection de code
- Falsification de requête inter-site (CSRF)
En les comparant à celles de 2019, HackerOne remarque que :
Les vulnérabilités de type Cross-site Scripting restent une menace majeure pour les applications web
En effet, les attaquants exploitant les attaques XSS peuvent prendre le contrôle du compte de l’utilisateur et dérober des informations personnelles telles que les mots de passe, les numéros de compte bancaire, les informations relatives aux cartes de crédit, les informations d’identification personnelle (IIP), les numéros de sécurité sociale, etc.
Les vulnérabilités XSS ont coûté aux entreprises un total de 4,2 millions $, soit une augmentation de 26 % en un an. Si ces bugs représentent 18 % des vulnérabilités signalées, la récompense moyenne n’est que de 501 $.
Le contrôle d’accès non autorisé et la divulgation d’informations progressent
Le contrôle d’accès non autorisé (en hausse de 9 places par rapport à 2019) et la divulgation d’informations (toujours en troisième position) restent des vulnérabilités très fréquentes.
Le volume de récompenses pour le contrôle d’accès non autorisé a augmenté de 134 % en un an, atteignant un peu plus de 4 millions $. La divulgation d’informations n’est pas loin derrière, avec une augmentation annuelle de 63 %.
Le Cloud accroit les bugs SSRF
Les falsifications de requêtes côté serveur (SSRF), qui peuvent être exploitées pour cibler les systèmes internes derrière les pares-feux, confirme que la migration vers le cloud comporte des risques. Situés l’an dernier à la septième place du classement, les bugs SSRF étaient jusqu’à présent relativement bénins car ils étaient uniquement utilisés pour l’analyse du réseau interne avec parfois un accès aux consoles d’administration internes. Désormais, l’avènement de modèles cloud et de points d’entrée non protégés rend ces vulnérabilités de plus en plus critiques.
La faille SQLi / Injection SQL recule chaque année
Considérée par OWASP et d’autres comme l’une des menaces les plus dangereuses pour les applications web, elle n’occupe plus que la septième place du classement en 2020.
