1. Qu'est-ce que le Top 10 OWASP et pourquoi est-il important ?
Le Top 10 OWASP est une liste des dix vulnerabilites de securite web les plus critiques, publiee par l'Open Web Application Security Project. Mise a jour regulierement (derniere version 2021), elle sert de reference mondiale pour la securite des applications. Elle inclut : Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Authentication Failures, Software Integrity Failures, Logging Failures, et SSRF. Les entreprises l'utilisent comme base pour leurs audits de securite, leurs formations et leurs standards de developpement.
2. Expliquez l'injection SQL et comment s'en proteger.
L'injection SQL survient quand des donnees utilisateur non sanitisees sont inserees directement dans une requete SQL. Un attaquant peut modifier la requete pour extraire, modifier ou supprimer des donnees. Exemple classique : saisir ' OR 1=1 -- dans un champ de login. Protection : toujours utiliser des requetes parametrees (prepared statements) ou un ORM qui les genere automatiquement. Ne jamais concatener des entrees utilisateur dans du SQL. Appliquer le principe du moindre privilege sur les comptes de base de donnees. Utiliser la validation d'entree en liste blanche. Les WAF (Web Application Firewall) ajoutent une couche de defense supplementaire.
3. Qu'est-ce que le Cross-Site Scripting (XSS) et quels sont ses types ?
Le XSS permet a un attaquant d'injecter du JavaScript malveillant dans une page web vue par d'autres utilisateurs. Trois types : Reflected XSS (le script est dans l'URL et reflete dans la reponse), Stored XSS (le script est stocke en base et affiche a chaque visite, plus dangereux), DOM-based XSS (le script manipule le DOM cote client). Consequences : vol de cookies de session, redirection vers des sites malveillants, keylogging, defacement. Protection : echapper toutes les sorties HTML (output encoding), utiliser Content-Security-Policy (CSP), HttpOnly sur les cookies, et des frameworks qui echappent par defaut (React, Angular).
4. Comment fonctionne le Cross-Site Request Forgery (CSRF) ?
Le CSRF exploite la confiance qu'un site a dans le navigateur de l'utilisateur. Si un utilisateur est authentifie sur un site A, un site malveillant B peut declencher des requetes vers A en utilisant les cookies de session de l'utilisateur. Exemple : une image avec src pointant vers une URL de transfert bancaire. Protection : tokens CSRF (token unique par session/requete inclus dans les formulaires), attribut SameSite sur les cookies (Lax ou Strict), verifier l'en-tete Origin/Referer, exiger une re-authentification pour les actions sensibles. Les API REST utilisant des tokens Bearer (JWT) dans les headers sont naturellement protegees.
5. Expliquez le principe de Broken Access Control et donnez des exemples.
Le Broken Access Control est la vulnerabilite numero 1 du Top 10 OWASP 2021. Elle survient quand un utilisateur peut acceder a des ressources ou effectuer des actions au-dela de ses permissions. Exemples : modification d'un ID dans l'URL pour acceder au compte d'un autre utilisateur (IDOR - Insecure Direct Object Reference), elevation de privilege en modifiant un role dans une requete, acces a des endpoints d'administration sans verification. Protection : verifier les autorisations cote serveur pour chaque requete, appliquer le deny-by-default, utiliser RBAC ou ABAC, tester systematiquement les controles d'acces.
6. Qu'est-ce que la politique CORS et comment la configurer correctement ?
CORS (Cross-Origin Resource Sharing) est un mecanisme HTTP qui permet a un serveur de specifier quels domaines peuvent acceder a ses ressources. Le navigateur envoie une requete preflight (OPTIONS) pour les requetes complexes. Headers importants : Access-Control-Allow-Origin (domaines autorises), Access-Control-Allow-Methods (methodes HTTP), Access-Control-Allow-Headers, Access-Control-Allow-Credentials. Erreurs courantes : utiliser le wildcard (*) avec credentials, ou refleter dynamiquement l'origine sans validation. Bonne pratique : lister explicitement les origines autorisees, limiter les methodes et headers, et ne jamais utiliser * en production.
7. Comment securiser l'authentification et la gestion des sessions ?
Bonnes pratiques : mots de passe hashes avec bcrypt, scrypt ou Argon2 (jamais MD5/SHA1). Imposer une complexite minimale et verifier contre les listes de mots de passe compromis (HaveIBeenPwned). Sessions : identifiants aleatoires et longs, regeneration apres authentification, expiration raisonnable, flags HttpOnly et Secure sur les cookies. Multi-facteur (MFA) : TOTP, WebAuthn/FIDO2, ou SMS (moins sur). Limiter les tentatives de connexion (rate limiting), implementer le verrouillage de compte temporaire, et logger toutes les tentatives d'authentification pour detecter les attaques par force brute.
8. Expliquez les en-tetes de securite HTTP essentiels.
Content-Security-Policy (CSP) : controle les sources de contenu autorisees, previent XSS. Strict-Transport-Security (HSTS) : force HTTPS, previent les attaques de downgrade. X-Content-Type-Options: nosniff : empeche le MIME sniffing. X-Frame-Options : previent le clickjacking (remplace par CSP frame-ancestors). Referrer-Policy : controle les informations de referrer envoyees. Permissions-Policy : controle l'acces aux API du navigateur (camera, geolocation). Configuration recommandee : activer tous ces headers, tester avec securityheaders.com, et ajuster CSP progressivement en mode report-only avant enforcement.
9. Qu'est-ce que le Server-Side Request Forgery (SSRF) ?
Le SSRF permet a un attaquant de faire executer des requetes par le serveur vers des ressources internes ou externes. L'attaquant exploite une fonctionnalite qui accepte des URL (import d'image, webhook, PDF generation). Il peut cibler des services internes (metadata cloud AWS a 169.254.169.254, bases de donnees, services internes). Consequences : exfiltration de donnees, acces aux credentials cloud, scan du reseau interne. Protection : validation stricte des URL en liste blanche, bloquer les IP privees et localhost, utiliser un proxy dedie pour les requetes sortantes, desactiver les redirections, et segmenter le reseau.
10. Comment mettre en place une strategie de securite DevSecOps ?
DevSecOps integre la securite a chaque etape du cycle de developpement. Pipeline : SAST (Static Application Security Testing) avec SonarQube ou Semgrep dans le CI, SCA (Software Composition Analysis) avec Dependabot ou Snyk pour les dependances vulnerables, DAST (Dynamic Analysis) avec OWASP ZAP ou Burp Suite sur les environnements de staging, secret scanning avec git-secrets ou truffleHog. Pratiques : threat modeling en phase de design, code review avec focus securite, tests de penetration reguliers, bug bounty program. Former les developpeurs au secure coding et maintenir une culture security-first.