Recent

  • Show all results for ""
quiz image

OWASP Top 10 : Injection

TrendyOrangeTree avatar
TrendyOrangeTree
·
·
Download

Start Quiz

Study Flashcards

10 Questions

Quel est le type d'injection qui injecte du code système malveillant pour accéder ou modifier des ressources système ?

Injection de commandes

Quel est le moyen de prévention le plus efficace contre l'exposition de données sensibles ?

Utiliser le chiffrement pour les données au repos et en transit

Quel est le type de contrôle d'accès cassé qui permet l'accès non autorisé à des données ou des ressources sensibles ?

Référence d'objet directe non sécurisée (IDOR)

Quel est le type d'authentification qui réduit le plus le risque d'attaque par force brute ?

Authentification à deux facteurs

Quel est le moyen de prévention le plus efficace contre l'injection SQL ?

Valider et sanitizer les entrées utilisateur

Quel est le type de données exposées sensibles qui nécessite une protection spéciale ?

Toutes les options ci-dessus

Quel est le type de contrôle d'accès cassé qui permet l'accès à des ressources sans authentification ?

Mécanisme d'accès non sécurisé

Quel est le moyen de prévention le plus efficace contre l'exposition de données sensibles en transit ?

Utiliser le chiffrement pour les données en transit

Quel est le type d'authentification qui permet l'accès à des ressources sans vérification d'identité ?

Authentification anonyme

Quel est le moyen de prévention le plus efficace contre l'injection NoSQL ?

Valider et sanitizer les entrées utilisateur

Study Notes

OWASP Top 10

Injection

  • Occurs when an attacker sends malicious data as part of a command or query to access unauthorized data or system resources.
  • Types of injection:
    • SQL injection: injects malicious SQL code to access or modify database data.
    • NoSQL injection: injects malicious code to access or modify NoSQL database data.
    • Command injection: injects malicious system commands to access or modify system resources.
  • Prevention:
    • Use prepared statements with parameterized queries.
    • Validate and sanitize user input.
    • Limit database privileges.

Sensitive Data Exposure

  • Occurs when an application does not properly protect sensitive data, such as:
    • Credit card numbers
    • Passwords
    • Encryption keys
    • Personal identifiable information (PII)
  • Prevention:
    • Use encryption for data at rest and in transit.
    • Implement secure protocols for data transmission (e.g. HTTPS).
    • Use secure storage solutions (e.g. encrypted containers).
    • Limit access to sensitive data.

Broken Access Control

  • Occurs when an application does not properly enforce access control mechanisms, allowing unauthorized access to resources.
  • Types of broken access control:
    • Insecure direct object reference (IDOR): unauthorized access to sensitive data or resources.
    • Missing or inadequate access control mechanisms.
  • Prevention:
    • Implement role-based access control (RBAC).
    • Use secure authentication and authorization mechanisms.
    • Limit access to resources based on user roles and privileges.
    • Regularly review and update access control policies.

Broken Authentication

  • Occurs when an application does not properly implement authentication mechanisms, allowing unauthorized access to resources.
  • Types of broken authentication:
    • Weak passwords or password policies.
    • Inadequate session management.
    • Insufficient authentication mechanisms.
  • Prevention:
    • Implement strong password policies and multi-factor authentication.
    • Use secure session management mechanisms (e.g. secure tokens).
    • Limit login attempts and implement account lockout policies.
    • Regularly review and update authentication mechanisms.

OWASP Top 10

Injection

  • L'injection se produit lorsque un attaquant envoie des données malveillantes en tant que partie d'une commande ou d'une requête pour accéder à des données ou des ressources système non autorisées.
  • Types d'injection :
    • Injection SQL : injection de code SQL malveillant pour accéder ou modifier des données de base de données.
    • Injection NoSQL : injection de code malveillant pour accéder ou modifier des données de base de données NoSQL.
    • Injection de commandes : injection de commandes système malveillantes pour accéder ou modifier des ressources système.
  • Prévention :
    • Utiliser des instructions préparées avec des requêtes parameterisées.
    • Valider et nettoyer les entrées utilisateur.
    • Limiter les privilèges de base de données.

Exposition de données sensibles

  • L'exposition de données sensibles se produit lorsque l'application ne protège pas correctement les données sensibles, telles que :
    • Les numéros de carte de crédit
    • Les mots de passe
    • Les clés de chiffrement
    • Les informations d'identification personnelle (IIP)
  • Prévention :
    • Utiliser le chiffrement pour les données au repos et en transit.
    • Mettre en œuvre des protocoles sécurisés pour la transmission de données (par exemple, HTTPS).
    • Utiliser des solutions de stockage sécurisées (par exemple, des conteneurs chiffrés).
    • Limiter l'accès aux données sensibles.

Contrôle d'accès défectueux

  • Le contrôle d'accès défectueux se produit lorsque l'application ne met pas en œuvre correctement les mécanismes de contrôle d'accès, permettant ainsi l'accès non autorisé aux ressources.
  • Types de contrôle d'accès défectueux :
    • Référence d'objet directe non sécurisée (IDOR) : accès non autorisé aux données ou ressources sensibles.
    • Mécanismes de contrôle d'accès manquants ou inadéquats.
  • Prévention :
    • Mettre en œuvre un contrôle d'accès basé sur les rôles (RBAC).
    • Utiliser des mécanismes d'authentification et d'autorisation sécurisés.
    • Limiter l'accès aux ressources en fonction des rôles et des privilèges des utilisateurs.
    • Examiner et mettre à jour régulièrement les politiques de contrôle d'accès.

Authentification défectueuse

  • L'authentification défectueuse se produit lorsque l'application ne met pas en œuvre correctement les mécanismes d'authentification, permettant ainsi l'accès non autorisé aux ressources.
  • Types d'authentification défectueuse :
    • Mots de passe faibles ou politiques de mots de passe inadéquates.
    • Gestion des sessions inadéquate.
    • Mécanismes d'authentification insuffisants.
  • Prévention :
    • Mettre en œuvre des politiques de mots de passe sécurisées et une authentification à plusieurs facteurs.
    • Utiliser des mécanismes de gestion des sessions sécurisés (par exemple, des jetons sécurisés).
    • Limiter les tentatives de connexion et mettre en œuvre des politiques de verrouillage de compte.
    • Examiner et mettre à jour régulièrement les mécanismes d'authentification.

Découvrez les vulnérabilités d'injection, leurs types et comment les prévenir. Apprenez-en plus sur les attaques par injection et comment protéger vos systèmes et données.

Make Your Own Quizzes and Flashcards

Convert your notes into interactive study material.

Get started for free

More Quizzes Like This

Client-Side Attacks and XSS Quiz
3 questions

Client-Side Attacks and XSS Quiz

LucrativeMagenta avatar
LucrativeMagenta
System Hacking Techniques Chapter 3
93 questions

System Hacking Techniques Chapter 3

AdoredSanAntonio avatar
AdoredSanAntonio
1_3_3 Section 1 – Attacks, Threats, and Vulnerabilities - 1.3 – Application Attacks - Injection Attacks
24 questions

1_3_3 Section 1 – Attacks, Threats, and Vulnerabilities - 1.3 – Applic...

UnmatchedMandolin avatar
UnmatchedMandolin
CC536 Cyber Security: Web Attacks and SQL Injection
16 questions

CC536 Cyber Security: Web Attacks and SQL Injection

TerrificHilbert avatar
TerrificHilbert
Use Quizgecko on...
Browser
Open
Browser
Browser