Nous connaissons tous le Top 10 des risques liés à la sécurité des applications web de l’Open Web Application Security Project (OWASP). Non seulement les organisations ont utilisé cette liste pour adopter de nouvelles pratiques de développement afin de produire un code plus sûr, mais les fournisseurs de sécurité ont construit des produits pour détecter et prévenir ces attaques majeures. Mais que se passe-t-il lorsqu’un agresseur utilise votre application, et ses fonctionnalités standard, contre vous ? L’abus d’application est une classe d’attaque unique : il ne repose pas sur quelques charges utiles malveillantes, mais consiste plutôt en une série d’activités menées contre une application sur une certaine période. Ce type d’attaque vous oblige à comprendre le comportement de votre application, à différents niveaux, pour déterminer si l’activité est prévue et normale ou malveillante. Voici quelques exemples bien connus :
- Les attaques par dénombrement, telles que la validation des cartes de crédit, Google Docs ou le zoombombing, où un attaquant énumère un nombre aléatoire à la recherche d’une correspondance
- Les attaques de la Brute Force, y compris le bourrage de cartes d’identité, pour accéder à une application en utilisant des comptes par défaut ou des cartes d’identité provenant de violations antérieures
- Les attaques de performance, y compris les recherches et les requêtes de grande envergure, qui ont un impact sur la performance de l’application ou même qui rendent l’application non conforme
Comment détecter et agir contre ce type d’attaques ?
Ces attaques n’incluant pas de charges utiles malveillantes, comment détecter et répondre à ce type d’attaques ? Il existe quelques techniques, lorsqu’elles sont couplées, qui peuvent aider à protéger votre application contre ces types d’attaques, notamment
- la réputation de la source, y compris l’adresse IP et le domaine, pour déterminer l’intention de la source
- Limitation du taux, y compris la pagination des résultats, pour limiter l’activité pendant un certain temps
- Redirection, y compris les techniques de tromperie, pour maintenir l’attaquant engagé, mais sans impact sur votre application
La mise en œuvre de ces techniques nécessite des solutions de sécurité pour comprendre tous les niveaux de votre application, et c’est là que Signal Sciences brille. Grâce à son pare-feu pour applications web (WAF) de nouvelle génération et à ses capacités d’autoprotection des applications d’exécution (RASP), Signal Sciences inspecte non seulement le trafic dirigé vers votre application, mais fournit également des visualisations des données de sécurité clés à travers l’architecture de l’application, y compris les serveurs, les conteneurs, les API, etc. En combinant toutes ces données, Signal Sciences peut facilement arrêter les abus d’applications et d’API.
