HackerOne est une plateforme de Bug Bounty international dont les hackers éthiques sont mis au challenge par les entreprises afin de détecter les bugs et failles de sécurité de leurs applications ou de leurs infrastructures.

Avec plus de 220 000 vulnérabilités détectées par ses hackers, Hacker One a moyen de livrer régulièrement quelques statistiques intéressantes et notamment un classement annuel des vulnérabilités les plus fréquemment détectées et les plus récompensées.

En tête du classement 2020 arrivent les fameuses vulnérabilités XSS (Cross Site Scripting) qui permettent d’injecter du contenu et du code dans une page.

En seconde position arrivent les « contrôles d’accès inappropriés ». Cette faille se produit lorsqu’une application ne restreint pas (ou mal) l’accès à des ressources, permettant à une personne non autorisée (et un attaquant) d’y accéder. Ce type de vulnérabilité critique est en très forte croissance cette année. Connaissant 134% d’augmentation, il progresse de la 9ème place à la 2nde place du classement.

La divulgation d’informations s’inscrit dans la même lignée que la vulnérabilité précédente. La faille se produit lorsque des données sensibles ou confidentielles sont exposées alors qu’elles ne devraient pas l’être.

Les falsifications de requêtes côté serveur ou failles SSRF connaissent elles aussi une croissance impressionnante avec 103% d’augmentation et montent dans le Top 5 passant de la 7ème à la 4ème place. Ces attaques utilisées pour atteindre des systèmes placés derrière les pare-feux sont de plus en plus en vogue. Les attaques SSRF consistent à exploiter le serveur Web de l’entreprise pour effectuer des requêtes (et lire des fichiers) d’un système interne à l’entreprise.

Les attaques IDOR (Insecure Direct Object Reference) sont des attaques simples à réaliser. L’attaquant se contente de manipuler les requêtes http en modifiant l’un des paramètres pour avoir accès à l’information de son choix. Une telle attaque est possible lorsque les développeurs de sites et Web Apps permettent des accès trop directs aux informations sans en contrôler les conséquences.

On notera que les injections SQL figurent toujours dans ce classement alors qu’elles ne sont liées qu’à de mauvaises pratiques de développement et que bien des outils permettent de les repérer automatiquement dans les codes sources.

Ce classement n’est pas vraiment surprenant mais il met quand même en évidence combien de mauvaises pratiques de développement et de configuration peuvent coûter aux entreprises dans le cadre de bug bounty alors qu’il existe de plus en plus d’outils automatiques pour les repérer et les corriger. Car au total, les entreprises ont dépensé plus de 23,5 millions de dollars pour faire repérer ces 10 vulnérabilités par les hackers éthiques d’HackerOne.

On notera également que ce classement est assez différent de celui établi par Veracode (dans l’analyse de 130 000 codes sources d’entreprise) et de ceux de référence que sont le CWE TOP 25 et le OWASP TOP 10.