From 23c5353eceeb51433cca1a74b304d2845621ea4a Mon Sep 17 00:00:00 2001 From: Nicolas Humblot Date: Sat, 11 Jun 2022 08:42:13 +0200 Subject: [PATCH 1/3] 2021 FR translation - A01 - Sync --- 2021/docs/A01_2021-Broken_Access_Control.fr.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/2021/docs/A01_2021-Broken_Access_Control.fr.md b/2021/docs/A01_2021-Broken_Access_Control.fr.md index 22870e443..3ded7c3a7 100644 --- a/2021/docs/A01_2021-Broken_Access_Control.fr.md +++ b/2021/docs/A01_2021-Broken_Access_Control.fr.md @@ -8,7 +8,7 @@ ## Aperçu -Précédemment à la cinquième place, 94 % des applications ont été testées pour une forme de contrôle d'accès défaillant avec un taux d'incidence moyen de 3,81 %. Cette catégorie a le plus d'occurrences dans l'ensemble de données contribué avec plus de 318 000. Les *Common Weakness Enumerations* (CWE) notables incluses sont *CWE-200: Exposure of Sensitive Information to an Unauthorized Actor*, *CWE-201: Exposure of Sensitive Information Through Sent Data* et *CWE-352: Cross-Site Request Forgery* . +Précédemment à la cinquième place, 94 % des applications ont été testées pour une forme de contrôle d'accès défaillant avec un taux d'incidence moyen de 3,81 %. Cette catégorie a le plus d'occurrences dans l'ensemble de données contribué avec plus de 318 000. Les *Common Weakness Enumerations* (CWE) notables incluses sont *CWE-200: Exposure of Sensitive Information to an Unauthorized Actor*, *CWE-201: Insertion of Sensitive Information Into Sent Data* et *CWE-352: Cross-Site Request Forgery* . ## Description From d2059f50df6138b6660edbf38b4cdd26d4583837 Mon Sep 17 00:00:00 2001 From: Nicolas Humblot Date: Sat, 11 Jun 2022 08:47:43 +0200 Subject: [PATCH 2/3] 2021 FR translation - A07 - Sync --- .../A07_2021-Identification_and_Authentication_Failures.fr.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/2021/docs/A07_2021-Identification_and_Authentication_Failures.fr.md b/2021/docs/A07_2021-Identification_and_Authentication_Failures.fr.md index 4b5214f01..07c8b3bb2 100644 --- a/2021/docs/A07_2021-Identification_and_Authentication_Failures.fr.md +++ b/2021/docs/A07_2021-Identification_and_Authentication_Failures.fr.md @@ -18,7 +18,7 @@ La confirmation de l'identité, de l'authentification et de la session de l'util - permet la force brute ou d'autres attaques automatisées ; - autorise les mots de passe par défaut, faibles ou bien connus, tels que "Password1" ou "admin / admin" ; - utilise des processus de récupération des informations d'identification faibles ou inefficaces et des processus de mot de passe oublié, tels que « Questions secrètes », qui ne peuvent être sécurisées ; -- utilise des mots de passe en texte brut, chiffrés ou faiblement hachés (voir **A02:2021 – Défaillances cryptographiques**) ; +- utilise des mots de passe en texte brut, chiffrés ou faiblement hachés (voir [A02:2021 – Défaillances cryptographiques](A02_2021-Cryptographic_Failures.md)) ; - absence ou utilisation inefficace de l’authentification multifacteur ; - exposition des identifiants de session dans l'URL ; - réutilisation de l'identifiant de session après une connexion réussie ; @@ -38,7 +38,7 @@ La confirmation de l'identité, de l'authentification et de la session de l'util **Scénario 1** : La réutilisation de mots de passe, l’utilisation de mots de passe connus, est une attaque classique. Supposons une application qui n’implémente pas une protection automatisée contre le bourrage d'informations ou l'utilisation des mots de passe connus. Dans ce cas, l'application peut être utilisée comme un oracle pour déterminer si les mots de passe sont valides. -**Scénario 2** : La plupart des attaques d’authentification se produisent en raison de l’utilisation de mots de passe comme facteur unique. Une fois considérées, les exigences de rotation et de complexité des mots de passe, sont considérées comme encourageant les utilisateurs à utiliser et réutiliser des mots de passe faibles. Il est maintenant recommandé d’arrêter ces pratiques selon les directives NIST 800-63 et d’utiliser du multifacteur. +**Scénario 2** : La plupart des attaques d’authentification se produisent en raison de l’utilisation de mots de passe comme facteur unique. Un temps considérées comme de bonnes pratiques, les exigences de rotation et de complexité des mots de passe sont considérées comme encourageant les utilisateurs à utiliser et réutiliser des mots de passe faibles. Il est maintenant recommandé d’arrêter ces pratiques selon les directives NIST 800-63 et d’utiliser du multifacteur. **Scénario 3** : Les timeouts de session d’application ne sont pas paramétrés correctement. Un utilisateur utilise un ordinateur public pour accéder à une application. À la place de se déconnecter correctement, l’utilisateur ferme le navigateur et quitte l’ordinateur. Un attaquant utilise ensuite le même navigateur quelque temps après et l’utilisateur est toujours authentifié. From 772b8929928d7808294748e37e94a2f0e7c4f4e5 Mon Sep 17 00:00:00 2001 From: Nicolas Humblot Date: Sat, 11 Jun 2022 08:49:37 +0200 Subject: [PATCH 3/3] 2021 FR translation - A09 - Sync --- .../A09_2021-Security_Logging_and_Monitoring_Failures.fr.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/2021/docs/A09_2021-Security_Logging_and_Monitoring_Failures.fr.md b/2021/docs/A09_2021-Security_Logging_and_Monitoring_Failures.fr.md index 426d22da8..26b868844 100644 --- a/2021/docs/A09_2021-Security_Logging_and_Monitoring_Failures.fr.md +++ b/2021/docs/A09_2021-Security_Logging_and_Monitoring_Failures.fr.md @@ -50,7 +50,7 @@ On trouve des logiciels, commerciaux ou open source, de protection d'application - [OWASP Proactive Controls: Implement Logging and Monitoring](https://owasp.org/www-project-proactive-controls/v3/en/c9-security-logging.html) -- [OWASP Application Security Verification Standard: V8 Logging and +- [OWASP Application Security Verification Standard: V7 Logging and Monitoring](https://owasp.org/www-project-application-security-verification-standard) - [OWASP Testing Guide: Testing for Detailed Error