MITRE actualise son top 25 des vulnérabilités.

Étiqueté : , , , ,

  • Ce sujet est vide.
Vous lisez 0 fil de discussion
  • Auteur
    Messages
    • #35193
      Nicolas Coolman
      Maître des clés

      MITRE actualise son top 25 des vulnérabilités.

      Logiciels : le top 25 des problèmes de sécurité

      MITRE a actualisé son top 25 CWE. L’écriture hors limites et le XSS y apparaissent comme les plus dangereuses catégories de faiblesses logicielles.

      L’écriture hors limites, plus dangereuse des faiblesses logicielles ? Oui, si on en croit MITRE. L’organisme soutenu par le département de la Sécurité intérieure des États-Unis a pris l’habitude de publier un top 25. (Sources)


      Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies.

      En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


      MITRE ATT&CK est une base de connaissances accessible à l'échelle mondiale sur les tactiques et techniques de l'adversaire, basée sur des observations du monde réel. La base de connaissances ATT&CK est utilisée comme base pour le développement de modèles et de méthodologies de menace spécifiques dans le secteur privé, au gouvernement et dans la communauté des produits et services de cybersécurité.

      Nicolas Coolman

Vous lisez 0 fil de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour haut de page