🛡️ Projet OWASP – Sécurité des Applications Web

Dans ce projet, j’ai étudié l’organisation OWASP (Open Web Application Security Project), une référence mondiale en matière de sécurité web. L’objectif est de comprendre les risques les plus courants dans les sites web, et comment s’en protéger.

🔐 Qu’est-ce que l’OWASP ?

L’OWASP est une organisation à but non lucratif qui fournit :

• ✅ Des outils gratuits pour tester la sécurité
• ✅ Des guides de bonnes pratiques pour les développeurs
• ✅ Le célèbre Top 10 des vulnérabilités web

⚠️ OWASP Top 10 – Expliqué Simplement

Voici les 10 vulnérabilités web les plus critiques selon OWASP, avec des exemples concrets :

1. Injection (ex: SQL Injection) : Un utilisateur malveillant entre du code dans un champ de formulaire.
2. Authentification cassée : Failles dans le système de login, permettant de voler des comptes.
3. Exposition de données sensibles : Mots de passe ou cartes bancaires visibles ou mal stockées.
4. Entités XML externes (XXE) : Faille liée au traitement de fichiers XML.
5. Contrôle d’accès cassé : Un utilisateur normal peut accéder à des pages administrateur.
6. Mauvaises configurations : Paramètres par défaut, serveurs mal sécurisés.
7. XSS (Cross-Site Scripting) : Un script malveillant s’exécute sur la page web d’un utilisateur.
8. Désérialisation non sécurisée : Exploitation de données mal formatées.
9. Composants vulnérables : Utilisation de plugins obsolètes ou non sécurisés.
10. Journalisation insuffisante : Les attaques passent inaperçues faute de logs ou alertes.

Cette liste est utile pour les développeurs, les auditeurs et les entreprises afin de détecter et corriger les failles prioritaires dans un site web.

🧰 Outil utilisé : OWASP ZAP (Zed Attack Proxy)

J’ai utilisé OWASP ZAP, un scanner de sécurité open source. Il permet d’analyser un site en simulant des attaques. On peut :

• 🔍 Inspecter le trafic HTTP
• 🚨 Détecter les failles comme XSS ou injections SQL
• 🛠️ Lancer des scans passifs ou actifs

Dans mon cas, j’ai lancé un scan sur un site de test. J’ai repéré des formulaires sans protection CSRF, et des paramètres GET sensibles exposés. C’est une démonstration très claire de la réalité des menaces sur internet.

💡 Ce que j’ai retenu

• ✅ Les risques critiques du développement web
• ✅ Comment fonctionne une attaque web (et comment l’éviter)
• ✅ Utiliser des outils comme ZAP pour auditer la sécurité
• ✅ L’importance de sécuriser les applications dès leur conception

📚 Sources

• Site officiel de l’OWASP
• OWASP Top 10 Project
• OWASP ZAP Tool