Un bon moyen de connaître les failles possibles consiste à consulter les listes des failles les plus répandues publiées par l'
OWASP ou par le
SANS Institute.
Le "
Top 10" de l'
OWASP a pour but premier d'éduquer les développeurs, concepteurs, architectes et entreprises sur les conséquences des vulnérabilités de sécurité les plus communes des applications web. Le "Top 10" fournit des méthodes de base pour se protéger contre ces vulnérabilités - première étape indispensable à votre programme sécurité de programmation sécurisée.
L'édition précédente du "
Top 10" contenait un mélange d'attaques, de vulnérabilités et de contre-mesures. Cette fois-ci, le document de l'
OWASP se concentre essentiellement sur les vulnérabilités, bien que la terminologie généralement utilisée combine parfois vulnérabilités et attaques.
Vous trouverez le document décrivant ces failles à l'adresse suivante (document en français):
https://www.owasp.org/images/c/ce/OWASP_Top_10_2007_-_French.pdfLe document de
SANS Institute est plus proche de la programmation. Un groupe d'experts internationaux s'est mis d'accord sur le"
Top 25" des plus dangereuses erreurs de programmation qui mènent à des bugs de sécurité contribuant au cyber-espionnage et au cyber-crime. Etonnament la plupart de ces erreurs ne sont pas bien comprises par les programmeurs; la manière d'éviter ces erreurs n'est pas largement enseignée dans les écoles; et leur présence est rarement testée par les organisations vendant des logiciels.
Vous trouverez le document décrivant ces erreurs de programmation à l'adresse suivante (document en anglais):
http://www.sans.org/top25errors/
De nombreux site web demandant une authentification par mot de passes basent sur la connaissance de ce type d'informations la possiblité de changer le mot de passe d'un utilisateur en cas d'oubli.
