SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
Comprendre et anticiper
les menaces applicatives.
LES GRANDS CLASSIQUES
LES GRANDS CLASSIQUES
Attaques applicatives
+ SQL Injection
+ Cross Site Scripting
+ Command Injection
+ Path Traversal
+ Local (remote) File Inclusion
+ Redirections vers des sites tiers
Faiblesses
d’architecture
+ Mauvaise gestion des droits
+ Mauvaise gestion des accès aux
ressources
+ Upload de fichiers dangereux
+ Cookies non sécurisés
+ Pages sessionless
Déni de service
+ Atteinte des limites du serveur
+ Atteinte des limites de l’application
+ Vulnérabilité serveur (Apache, IIS,
etc)
Phishing/Scamming
+ Emails piégés
+ Abus de confiance
+ Ingénierie sociale
POURQUOI SONT ILS SI
MÉCHANTS ?
Objectifs
+ Vol de données sensibles (plusieurs € par référence)
+ Interruption de service
+ Atteinte à l’image de marque ou d’une société
+ Prise de contrôle de machines cibles
+ Revenus financiers
Quelques exemples
+ US Army credentials informations leaks
+ NATO documents steal
+ SCADA
+ DDOS Operation (HSBC, Facebook, Twitter, Forex market)
+ Phishing (facebook, twitter)
CONTRE-MESURES
Attaques applicatives
+ Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic)
+ Développement sécurisé
+ Audits (code et sécurité)
Déni de service
+ Mise en place de pare-feu réseau
+ Mise en place d’une sonde réseau
+ (Virtual) Patching afin de contrer les vulnérabilités 0-Day
Phishing
+ Mise en place de solutions d’authentification des emails
+ Formation du personnel
+ Sensibilisation des utilisateurs (http://www.phishing.fr)
NOUVELLES TENDANCES
ATTAQUES APPLICATIVES
Obfuscation d’attaques applicatives (Firewall
Bypassing)
+ Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL
encoding)
+ SQL Injection avancées (blind injections, conversions implicites)
+ XSS avancés (Javascript obfuscation)
Nouvelles attaques
+ HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs)
+ XSRF (la vulnérabilité la plus répandue actuellement)
+ Des évolutions des anciennes recettes…
ATTAQUES ZERO DAY
Cibles sur le serveur
+ Apache, IIS, Tomcat, Glassfish
+ OpenSSL, XML parsers
+ Vulnérabilités Système
Méthodologie
+ Requêtes et communications malformées
+ Exploitation de fuite mémoire
Outils
+ Metasploit
+ Slowloris
+ THC-SSL-DOS, etc.
ATTAQUES DU PROTOCOLE SSL
Ciphers cracking
+ B.E.A.S.T.
+ CBC mode vulnerability
SSL Bypass
+ C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL)
+ C.R.I.M.E. v2 (HTTP Compression, Time Attack)
BONNES PRATIQUES
SE MAINTENIR A JOUR
Les attaques applicatives évoluent et se
transforment
+ Maintenir ses règles de sécurité à jour
+ Installer les mises à jour des produits de défense dès qu’elles sont disponibles
+ Mettre en place des règles de virtual patching via ICX ou les workflows
Les nouvelles vulnérabilités sont toujours
exploitées
+ Maintenir son niveau de connaissance des produits
+ S’informer de l’actualité des techniques d’attaque
+ Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de
l’infrastructure (frameworks, bibliothèques, etc)
RENFORCER LA POLITIQUE
D’ACCES
De nouvelles formes d’attaques applicatives
apparaissent
+ Comprendre ces attaques
+ Mesurer leur impact dans le système d’information
+ Mettre en place des techniques de protections adaptées (nouvelles règles ICX,
modification et amélioration des politiques de sécurité)
Les communications SSL sont au cœur de
la sécurité Web
+ Utiliser des algorithmes de chiffrement sûrs et reconnus
+ Maintenir le serveur applicatif à jour
+ Maintenir le pare-feu applicatif à jour
VALIDER LE TRAFFIC
La majorité des nouvelles vulnérabilités sont
issues d’un trafic anormal
+ Requêtes mal formées ou invalides
+ Protocole HTTP modifié
+ Flux de données anormalement important
Mettre en place des outils de contrôle et
de maitrise du trafic:
+ Vérifier la taille des requêtes
+ Vérifier la validité du protocole
+ Vérifier le nombre et le format des paramètres
NE RIEN OUBLIER
Disparition progressive de l’architecture deux tiers
+ Les communications ne se font plus uniquement entre le client (navigateur internet) et le
serveur web
+ Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires)
+ Communication via des API Web Services (SOAP/XML) peu ou pas protégés !
Le cœur fonctionnel de l’application web reste le
même
+ Utilisation de SQL, HTML et de langages de script
+ Les attaques applicatives touchent également les web services
+ Au même titre que les applications web classiques, les Web Services doivent être protégés!
UNE APPLICATION WEB
SÉCURISÉE
UNE APPLICATION SÉCURISÉE
Une infrastructure à
jour
+ Pare-feu applicatif + signatures
+ Serveur web
+ Annuaire et base de données
+ Système d’exploitation
Une maîtrise du trafic
entrant
+ Taille des requêtes
+ Nombre de requêtes
+ Nombre et format de paramètres
+ Protocoles autorisés
Une bonne
connaissance de
l’application web
+ Identification des différents points
de communications
+ Evaluation des niveaux de
confiance
Un suivi de l’actualité
sécurité
+ Nouvelles vulnérabilités
+ Nouvelles attaques
VULNÉRABILITÉS WEB ‘13
WAF
WAF
WAF
WAF
MULTI
WAF
WAF
MULTI
WAF
WAF
# Vulnérabilité
1 Injection
2 Broken authentication & session management
3 Cross site scripting
4 Insecure direct object reference
5 Security misconfiguration
6 Sensitive data exposure
7 Missing function level access control
8 Cross site request forgery
9 Using components with known vulnerabilities
10 Unvalidated redirects and forwards
Contre mesure
Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
VOTRE PARE-FEU APPLICATIF
Doit :
+ Être un équipement dédié
+ Être à jour !
+ Être modulaire et industrialisable
+ Protéger TOUTES les applications
+ Protéger efficacement les Web Services
+ Protéger les applications mobiles
Ne doit pas :
+ Être une boîte noire
+ Nécessiter 800 pages de manuel
+ Requérir l’intervention des
développeurs
Web Application
Firewall, Web Access
Management et Web
Services Firewall.
MOINS DE
PRODUITS
Solution unifiée de filtrage, de
contrôle du trafic HTTP,
d’authentification et de routage
applicatif. Applications, APIs, web
services.
MOINS DE TEMPS
Administration graphique simple
et puissante. Profils d’applications,
templates.
BEE WARE I-SUITE 5.5
Active monitoring
Application firewalling
Application routing
HTTP throttling
Mobility policies
REST/JSON
Reverse proxy
SOAP/XML
SSL tunneling
Strong authentication
Web cloaking
Workflow
MOINS DE
STRESS
Supervision et protection du trafic
applicatif. En tout point du
système d’information.
CONTACTS
Service commercial
+ tel : +33 1 74 90 50 96
+ sales@bee-ware.net
Plus d’infos
+ http://www.bee-ware.net
+ http://blog.bee-ware.net
+ http://my.bee-ware.net
+ http://www.slideshare.net/bee_ware
+ http://www.scoop.it/t/securite-web
+ @beewaretech
+ @beewebsec

Contenu connexe

Tendances

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 

Tendances (20)

METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
EBIOS
EBIOSEBIOS
EBIOS
 
Ebios
EbiosEbios
Ebios
 
Mehari
MehariMehari
Mehari
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 

En vedette

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
A7 Missing Function Level Access Control
A7   Missing Function Level Access ControlA7   Missing Function Level Access Control
A7 Missing Function Level Access Controlstevil1224
 
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...Cyber Security Alliance
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Managere-Xpert Solutions SA
 
CustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score MeasurementCustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score MeasurementCustomerGauge
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...Cédric Bodin
 
Présentation Identités Actives
Présentation Identités ActivesPrésentation Identités Actives
Présentation Identités ActivesFing
 
StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101StHack
 
Réduire la taille de son apk
Réduire la taille de son apkRéduire la taille de son apk
Réduire la taille de son apkJacques GIRAUDEL
 

En vedette (13)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
Java Bytecodes by Example
Java Bytecodes by ExampleJava Bytecodes by Example
Java Bytecodes by Example
 
A7 Missing Function Level Access Control
A7   Missing Function Level Access ControlA7   Missing Function Level Access Control
A7 Missing Function Level Access Control
 
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
CustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score MeasurementCustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score Measurement
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
 
Présentation Identités Actives
Présentation Identités ActivesPrésentation Identités Actives
Présentation Identités Actives
 
StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101
 
Réduire la taille de son apk
Réduire la taille de son apkRéduire la taille de son apk
Réduire la taille de son apk
 

Similaire à Les menaces applicatives

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Wixiweb
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Blandine Delaporte
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 

Similaire à Les menaces applicatives (20)

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_ima
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 

Plus de Bee_Ware

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape reportBee_Ware
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challengesBee_Ware
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends studyBee_Ware
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance reportBee_Ware
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Bee_Ware
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Bee_Ware
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to goBee_Ware
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAMBee_Ware
 
Websense security prediction 2014
Websense   security prediction 2014Websense   security prediction 2014
Websense security prediction 2014Bee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéBee_Ware
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security SurveyBee_Ware
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013Bee_Ware
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsBee_Ware
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - FranceBee_Ware
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysisBee_Ware
 

Plus de Bee_Ware (20)

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense   security prediction 2014Websense   security prediction 2014
Websense security prediction 2014
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
 

Les menaces applicatives

  • 1. Comprendre et anticiper les menaces applicatives.
  • 3. LES GRANDS CLASSIQUES Attaques applicatives + SQL Injection + Cross Site Scripting + Command Injection + Path Traversal + Local (remote) File Inclusion + Redirections vers des sites tiers Faiblesses d’architecture + Mauvaise gestion des droits + Mauvaise gestion des accès aux ressources + Upload de fichiers dangereux + Cookies non sécurisés + Pages sessionless Déni de service + Atteinte des limites du serveur + Atteinte des limites de l’application + Vulnérabilité serveur (Apache, IIS, etc) Phishing/Scamming + Emails piégés + Abus de confiance + Ingénierie sociale
  • 4. POURQUOI SONT ILS SI MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence) + Interruption de service + Atteinte à l’image de marque ou d’une société + Prise de contrôle de machines cibles + Revenus financiers Quelques exemples + US Army credentials informations leaks + NATO documents steal + SCADA + DDOS Operation (HSBC, Facebook, Twitter, Forex market) + Phishing (facebook, twitter)
  • 5. CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic) + Développement sécurisé + Audits (code et sécurité) Déni de service + Mise en place de pare-feu réseau + Mise en place d’une sonde réseau + (Virtual) Patching afin de contrer les vulnérabilités 0-Day Phishing + Mise en place de solutions d’authentification des emails + Formation du personnel + Sensibilisation des utilisateurs (http://www.phishing.fr)
  • 7. ATTAQUES APPLICATIVES Obfuscation d’attaques applicatives (Firewall Bypassing) + Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL encoding) + SQL Injection avancées (blind injections, conversions implicites) + XSS avancés (Javascript obfuscation) Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs) + XSRF (la vulnérabilité la plus répandue actuellement) + Des évolutions des anciennes recettes…
  • 8. ATTAQUES ZERO DAY Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish + OpenSSL, XML parsers + Vulnérabilités Système Méthodologie + Requêtes et communications malformées + Exploitation de fuite mémoire Outils + Metasploit + Slowloris + THC-SSL-DOS, etc.
  • 9. ATTAQUES DU PROTOCOLE SSL Ciphers cracking + B.E.A.S.T. + CBC mode vulnerability SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL) + C.R.I.M.E. v2 (HTTP Compression, Time Attack)
  • 11. SE MAINTENIR A JOUR Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour + Installer les mises à jour des produits de défense dès qu’elles sont disponibles + Mettre en place des règles de virtual patching via ICX ou les workflows Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits + S’informer de l’actualité des techniques d’attaque + Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)
  • 12. RENFORCER LA POLITIQUE D’ACCES De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques + Mesurer leur impact dans le système d’information + Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité) Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus + Maintenir le serveur applicatif à jour + Maintenir le pare-feu applicatif à jour
  • 13. VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides + Protocole HTTP modifié + Flux de données anormalement important Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes + Vérifier la validité du protocole + Vérifier le nombre et le format des paramètres
  • 14. NE RIEN OUBLIER Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le serveur web + Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires) + Communication via des API Web Services (SOAP/XML) peu ou pas protégés ! Le cœur fonctionnel de l’application web reste le même + Utilisation de SQL, HTML et de langages de script + Les attaques applicatives touchent également les web services + Au même titre que les applications web classiques, les Web Services doivent être protégés!
  • 16. UNE APPLICATION SÉCURISÉE Une infrastructure à jour + Pare-feu applicatif + signatures + Serveur web + Annuaire et base de données + Système d’exploitation Une maîtrise du trafic entrant + Taille des requêtes + Nombre de requêtes + Nombre et format de paramètres + Protocoles autorisés Une bonne connaissance de l’application web + Identification des différents points de communications + Evaluation des niveaux de confiance Un suivi de l’actualité sécurité + Nouvelles vulnérabilités + Nouvelles attaques
  • 17. VULNÉRABILITÉS WEB ‘13 WAF WAF WAF WAF MULTI WAF WAF MULTI WAF WAF # Vulnérabilité 1 Injection 2 Broken authentication & session management 3 Cross site scripting 4 Insecure direct object reference 5 Security misconfiguration 6 Sensitive data exposure 7 Missing function level access control 8 Cross site request forgery 9 Using components with known vulnerabilities 10 Unvalidated redirects and forwards Contre mesure Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
  • 18. VOTRE PARE-FEU APPLICATIF Doit : + Être un équipement dédié + Être à jour ! + Être modulaire et industrialisable + Protéger TOUTES les applications + Protéger efficacement les Web Services + Protéger les applications mobiles Ne doit pas : + Être une boîte noire + Nécessiter 800 pages de manuel + Requérir l’intervention des développeurs
  • 19. Web Application Firewall, Web Access Management et Web Services Firewall. MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services. MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates. BEE WARE I-SUITE 5.5 Active monitoring Application firewalling Application routing HTTP throttling Mobility policies REST/JSON Reverse proxy SOAP/XML SSL tunneling Strong authentication Web cloaking Workflow MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.
  • 20. CONTACTS Service commercial + tel : +33 1 74 90 50 96 + sales@bee-ware.net Plus d’infos + http://www.bee-ware.net + http://blog.bee-ware.net + http://my.bee-ware.net + http://www.slideshare.net/bee_ware + http://www.scoop.it/t/securite-web + @beewaretech + @beewebsec