Autant les premiers communiqués de l’Owasp (Open Web Application Security Project) se limitaient à une sorte d’inventaire des risques pouvant mettre en danger une architecture Web, autant l’édition 2010 est une petite merveille d’information structurée, de renseignements utiles… En un mot, la préversion de ce « hit parade des dangers Web et comment les éviter » frise une bonne méthode ou une analyse de risques. Ce n’est pourtant pas de cette manière qu’est présenté ledit document. C’est tout au plus un vadémécum qui renvoie aux autres ouvrages publiés par l’Owasp, et qui, eux, plongent plus profondément sur les méthodes de développement. Sur une vingtaine de pages, ce guide dresse tout d’abord une liste des attaques les plus courantes. Pour chaque attaque, une fiche pratique d’une page pose les deux questions fondamentales de l’administrateur Web (suis-je vulnérable et comment puis-je m’en préserver), accompagne ces interrogations d’une explication lapidaire d’un scénario d’attaque, et fournit une série d’URLs pointant sur les chapitres de référence soit d’un ouvrage de l’Owasp, soit d’un document du CWE.
Ah !Si les « top ten » du Sans, du CSI-FBI et autres organismes pouvaient être aussi clairs…
