Automaser	  les	  tests	  sécurité	  Web            Sébasen	  Gioria            OWASP	  France	  Leader	              OWAS...
http://www.google.fr/#q=sebastien gioria         ‣Consultant Indépendant en Sécurité Applicative         ‣OWASP France Lea...
O-­‐ou-­‐a-­‐ss-­‐pe?        • OWASP	  =	  Open	  Web	  Applica6on	  Security	  Project              – Il	  y	  a	  le	  m...
Saturday, March 2, 13
Saturday, March 2, 13
ApprendreSaturday, March 2, 13
ApprendreSaturday, March 2, 13
Apprendre   ContractualiserSaturday, March 2, 13
Apprendre   ContractualiserSaturday, March 2, 13
Apprendre   Contractualiser   ConcevoirSaturday, March 2, 13
Apprendre   Contractualiser   ConcevoirSaturday, March 2, 13
Apprendre   Contractualiser   Concevoir                    VérifierSaturday, March 2, 13
Apprendre   Contractualiser   Concevoir                    VérifierSaturday, March 2, 13
Apprendre   Contractualiser   Concevoir                    Vérifier       TesterSaturday, March 2, 13
Apprendre   Contractualiser   Concevoir                    Vérifier       TesterSaturday, March 2, 13
Apprendre   Contractualiser   Concevoir                    Vérifier       Tester          AméliorerSaturday, March 2, 13
OWASP	  Canada        • Sec6ons	  OWASP	  au	  Canada:              – Alberta:	  Edmonton	  &	  Lethbridge              – ...
Agenda        • Le	  développement	  et	  la	  sécurité        • Les	  différents	  types	  de	  tests        • Des	  ou6ls...
ContexteDemandez	  a	  regarder	  la	  CVE....                                                  © Verizon   7Saturday, Mar...
Contexte            • Les	  applica6ons	  Web	  sont	  fortement	  exposéesDemandez	  a	  regarder	  la	  CVE....         ...
Contexte            • Les	  applica6ons	  Web	  sont	  fortement	  exposéesDemandez	  a	  regarder	  la	  CVE....         ...
Contexte            • Les	  applica6ons	  Web	  sont	  fortement	  exposées           © VerizonDemandez	  a	  regarder	  l...
Contexte            • Les	  applica6ons	  Web	  sont	  fortement	  exposées           © Verizon     • Mais	  pas	  par	  d...
Contexte            • Les	  applica6ons	  Web	  sont	  fortement	  exposées           © Verizon     • Mais	  pas	  par	  d...
Sécurité	  &	  Le	  cycle	  de	                                                        développement         • Corriger	  ...
Sécurité	  &	  Le	  cycle	  de	                                                         développement         • Et	  deman...
Sécurité	  &	  Le	  cycle	  de	                                                                                           ...
Sécurité	  &	  Le	  cycle	  de	                                                                                           ...
Sécurité	  &	  Le	  cycle	  de	                                                                                           ...
Sécurité	  &	  cycle	  de	                                                            développement        • Mais	  la	  s...
Sécurité	  &	  cycle	  de	                                                            développement        • Mais	  la	  s...
Pourquoi	  chercher	  des	                             vulnérabilités	  ?                                                 ...
Pourquoi	  chercher	  des	                                                             vulnérabilités	  ?                ✓...
Pourquoi	  chercher	  des	                                                                vulnérabilités	  ?              ...
Pourquoi	  chercher	  des	                                                                  vulnérabilités	  ?            ...
Pourquoi	  chercher	  des	                                                                vulnérabilités	  ?              ...
Pourquoi	  chercher	  des	                                                                                   vulnérabilité...
De	  quoi	  parle-­‐t-­‐on	  ?                                                            13Saturday, March 2, 13
De	  quoi	  parle-­‐t-­‐on	  ?                        • Revue	  de	  code	  :	                              – Accès	  au	 ...
De	  quoi	  parle-­‐t-­‐on	  ?                        • Revue	  de	  code	  :	                              – Accès	  au	 ...
De	  quoi	  parle-­‐t-­‐on	  ?                        • Revue	  de	  code	  :	                               – Accès	  au	...
Evaluer	  le	  niveau	  de	  sécurité	                                                                       d’une	  appli...
15Saturday, March 2, 13
Analyse	  du	  code        • Avantages              – Permet	  de	  voir	  des	  failles	  non	  détectées	  par	  un	  te...
17Saturday, March 2, 13
Tests	  d	  intrusions        • Avantages              –Les	  compétences	  sur	  ce	  type	  de	  démarche	  sont	  facil...
Les	  ou6ls        • Buts	  :	                –Améliorer	  l’efficacité	  des	  tests	                –Permebre	  l’industri...
L’automa6sa6on	          • Pour	  automa6ser	  les	  tests	  sécurité,	  il	  est	            nécessaire	  d’avoir	  un	  ...
W3AF                        hbp://w3af.org/                                                 21Saturday, March 2, 13
Arachni                        hbp://arachni-­‐scanner.com/                                                               ...
Hudson                        hbp://hudson-­‐ci.org/                                                          23Saturday, ...
Démos                                24Saturday, March 2, 13
• @SPoint                        • sebas6en.gioria@owasp.orgSaturday, March 2, 13
• @SPoint                              • sebas6en.gioria@owasp.org    Il ny a quune façon déchouer, cest dabandonner avant...
Prochain SlideShare
Chargement dans…5
×

2013 03-01 automatiser les tests sécurité

1 574 vues

Publié le

Publié dans : Technologie
0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 574
Sur SlideShare
0
Issues des intégrations
0
Intégrations
171
Actions
Partages
0
Téléchargements
56
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2013 03-01 automatiser les tests sécurité

  1. 1. Automaser  les  tests  sécurité  Web Sébasen  Gioria OWASP  France  Leader   OWASP  Global  Educaon  Commi<ee CONFOO-­‐  1  Mars  2013  -­‐  Montréal  -­‐  CanadaSaturday, March 2, 13
  2. 2. http://www.google.fr/#q=sebastien gioria ‣Consultant Indépendant en Sécurité Applicative ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPointSaturday, March 2, 13 2
  3. 3. O-­‐ou-­‐a-­‐ss-­‐pe? • OWASP  =  Open  Web  Applica6on  Security  Project – Il  y  a  le  mot  “web”  mais  en  fait  … • Mission: – Global,  ouvert,  non  lucra6f,  indépendant. • Communauté  OWASP: – 30,000  abonnés  aux  listes  de  diffusion   – 200  sec6ons  régionales  ac6ves  dans  70  pays – 1’600  membres  officiels,  56  entreprises  partenaires – 69  ins6tu6ons  académiquesSaturday, March 2, 13
  4. 4. Saturday, March 2, 13
  5. 5. Saturday, March 2, 13
  6. 6. ApprendreSaturday, March 2, 13
  7. 7. ApprendreSaturday, March 2, 13
  8. 8. Apprendre ContractualiserSaturday, March 2, 13
  9. 9. Apprendre ContractualiserSaturday, March 2, 13
  10. 10. Apprendre Contractualiser ConcevoirSaturday, March 2, 13
  11. 11. Apprendre Contractualiser ConcevoirSaturday, March 2, 13
  12. 12. Apprendre Contractualiser Concevoir VérifierSaturday, March 2, 13
  13. 13. Apprendre Contractualiser Concevoir VérifierSaturday, March 2, 13
  14. 14. Apprendre Contractualiser Concevoir Vérifier TesterSaturday, March 2, 13
  15. 15. Apprendre Contractualiser Concevoir Vérifier TesterSaturday, March 2, 13
  16. 16. Apprendre Contractualiser Concevoir Vérifier Tester AméliorerSaturday, March 2, 13
  17. 17. OWASP  Canada • Sec6ons  OWASP  au  Canada: – Alberta:  Edmonton  &  Lethbridge – Bri6sh  Columbia:  Okanagan  &  Vancouver – Manitoba:  Winnipeg – New  Brunswick:  New  Brunswick – Ontario:  Niagara,  Toronto,  Obawa – Quebec:  Montréal,  Quebec  citySaturday, March 2, 13
  18. 18. Agenda • Le  développement  et  la  sécurité • Les  différents  types  de  tests • Des  ou6ls • Comment  intégrer  ses  ou6ls  dans  sa  chaine 6Saturday, March 2, 13
  19. 19. ContexteDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  20. 20. Contexte • Les  applica6ons  Web  sont  fortement  exposéesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  21. 21. Contexte • Les  applica6ons  Web  sont  fortement  exposéesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  22. 22. Contexte • Les  applica6ons  Web  sont  fortement  exposées © VerizonDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  23. 23. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  24. 24. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
  25. 25. Sécurité  &  Le  cycle  de   développement • Corriger  une  vulnérabilité  peut  couter  très  cher   Demandez  à  Microsoi   8Saturday, March 2, 13
  26. 26. Sécurité  &  Le  cycle  de   développement • Et  demander  du  temps  !   Demandez  à  Oracle.... 9Saturday, March 2, 13
  27. 27. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
  28. 28. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
  29. 29. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
  30. 30. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11Saturday, March 2, 13
  31. 31. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11Saturday, March 2, 13
  32. 32. Pourquoi  chercher  des   vulnérabilités  ? 12Saturday, March 2, 13
  33. 33. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? 12Saturday, March 2, 13
  34. 34. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   12Saturday, March 2, 13
  35. 35. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on 12Saturday, March 2, 13
  36. 36. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   12Saturday, March 2, 13
  37. 37. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   Quelle  technique  permet  de  répondre  le  mieux  à  l’une  ou  toutes  ses  ques6ons  ? ➡Revue  de  code  manuelle  ? ➡Test  d’intrusion  applica6f  manuel  ? 12Saturday, March 2, 13
  38. 38. De  quoi  parle-­‐t-­‐on  ? 13Saturday, March 2, 13
  39. 39. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on 13Saturday, March 2, 13
  40. 40. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée 13Saturday, March 2, 13
  41. 41. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée L’u6lisa6on  d’ou6ls  permet  d’aider  la  réalisa6on  de  la  revue  ou  du  test 13Saturday, March 2, 13
  42. 42. Evaluer  le  niveau  de  sécurité   d’une  applica6on  ?   • Référenel  : –OWASP  Top10  ? • L’un  des  plus  connu,  orienté  Risques –SANS  Top25  ?   • Plus  orienté  Code –CWE  ? • Un  peu  trop  complexe  ? –OWASP  ASVS  ? • Plus  orienté  exigences  fonc6onnelles 14Saturday, March 2, 13
  43. 43. 15Saturday, March 2, 13
  44. 44. Analyse  du  code • Avantages – Permet  de  voir  des  failles  non  détectées  par  un  test  de  type  test   d’intrusion – Permet  de  découvrir  des  problèmes  de  type  qualité  de  code  qui   conduiraient  à  des  abaques  DOS. – Les  ou6ls  commerciaux  sont  matures • Inconvénients – Les  ou6ls  open-­‐source  sont  très  immatures – Peut  être  long – Nécessite  des  compétences  pointues  en  développement  dans  le  langage   de  développement  couplées  à  des  compétences  sécurité. – Dans  le  cas  d’une  externalisa6on  de  l’analyse,  cebe  dernière  doit  être   fortement  encadrée 16Saturday, March 2, 13
  45. 45. 17Saturday, March 2, 13
  46. 46. Tests  d  intrusions • Avantages –Les  compétences  sur  ce  type  de  démarche  sont  faciles  a   trouver –Il  existe  des  ou6ls  open-­‐sources  matures –Cela  permet  de  tester  l’ensemble  de  la  chaine  de   produc6on;  infrastructure  et  logiciel   • Inconvénients –Le  temps  impar6  est  souvent  trop  faible  pour  tout  découvrir –Le  test  peut  mener  à  une  destruc6on  de  données;  il  ne  doit   pas  être  effectuer  directement  sur  la  producon. –Il  ne  permet  pas  de  s’assurer  d’un  niveau  de  sécurité. 18Saturday, March 2, 13
  47. 47. Les  ou6ls • Buts  :   –Améliorer  l’efficacité  des  tests   –Permebre  l’industrialisa6on  des  tests • Différentes  catégories  :   –Scanners  Web  ;  arachni,  w3af,  ... –Proxy  de  sécurité  ;  Burp  Suite,  Zap,  Vega –Modules  navigateurs  ;  Firecat,   –Ou6ls  spécifiques  ;  sqlmap,  ... 19Saturday, March 2, 13
  48. 48. L’automa6sa6on   • Pour  automa6ser  les  tests  sécurité,  il  est   nécessaire  d’avoir  un  ou6l    :   –disposant  d’une  base  importante  de  tests  (ou   vulnérabilités) –permebant  de  gérer  différents  points  d’entrée,  voire   de  découverte  de  ces  points –permebant  de  générer  un  rapport  “compréhensible” –intégrable  et  scriptable  dans  un  environnement  de   “build” 20Saturday, March 2, 13
  49. 49. W3AF hbp://w3af.org/ 21Saturday, March 2, 13
  50. 50. Arachni hbp://arachni-­‐scanner.com/ 22Saturday, March 2, 13
  51. 51. Hudson hbp://hudson-­‐ci.org/ 23Saturday, March 2, 13
  52. 52. Démos 24Saturday, March 2, 13
  53. 53. • @SPoint • sebas6en.gioria@owasp.orgSaturday, March 2, 13
  54. 54. • @SPoint • sebas6en.gioria@owasp.org Il ny a quune façon déchouer, cest dabandonner avant davoir réussi [Olivier Lockert]Saturday, March 2, 13

×