Authentifications
                  Gestion des Sessions
                    Contrôle d'Accès

     Le point de vue d' OWA...
Philippe Léothaud : chez BeeWare depuis 2003, d'abord en
charge de l'offre Web SSO puis CTO depuis 2006

Bee Ware :
   –  ...
Qu'est-ce que ASVS

  Unité de mesure du niveau de sécurité d'une
  application Web
  Liste exhaustive des contrôles à met...
Quelles réponses apporte l'ASVS

  Quels contrôles de sécurité sont nécessaires pour garantir
  à mon application le nivea...
Exigences de vérification de l'ASVS




  Exigences d'architecture
  Exigences de vérification de la sécurité




  Liste ...
Exigences de reporting de l'ASVS

  R1 –Introduction

  R2 – Description de l'application

  R3 – Approche architecturale
...
Les niveaux de vérification de l'ASVS

         The link ed image cannot be display ed. The file may hav e been mov ed, re...
Définition des niveaux

  Niveau 1 – Vérification automatisée (vérification partielle de
  l'application)
       − Niveau ...
Niveau 1 en détail

  Vérification
  automatisée en «boite
  noire» de l'application
  vue soit comme un
  tout, soit comm...
Niveau 1A et niveau 1B




  Niveau 1A                                Niveau 1B
  Analyse dynamique partielle            A...
Niveau 2 en détail

  Vérification manuelle
  d'une application vue
  comme un groupe de
  composants organisés
  selon un...
Niveau 2A et niveau 2B




  Niveau 2A                                Niveau 2B
Tests de pénétration manuels             R...
Niveau 3 en détail
                                     The link ed image cannot be display ed. The file may hav e been mo...
Niveau 4 en détail
                                 The link ed image cannot be display ed. The file may hav e been mov ed...
ASVS dans le Cycle de Vie des Développements




                                                15
Geneva Application Sec...
Les 14 familles d’exigences

  V1. Architecture sécurisée
                                            V9. Protection des d...
Authentification

« Les exigences de vérification d'authentification définissent un
ensemble d'exigences pour générer et
g...
Authentification




                                                18
Geneva Application Security Forum 4 mars 2010
Authentification




                                                19
Geneva Application Security Forum 4 mars 2010
Gestion des sessions

« Les exigences de vérification de gestion des sessions,
définissent un ensemble d'exigences pour ut...
Gestion des sessions




                                                21
Geneva Application Security Forum 4 mars 2010
Gestion des sessions




                                                22
Geneva Application Security Forum 4 mars 2010
Contrôle d’accès

« Ces exigences définissent les points requis de vérification de
contrôles d'accès pour les URLs, les fo...
Contrôle d’accès




                                                24
Geneva Application Security Forum 4 mars 2010
Contrôle d’accès




                                                25
Geneva Application Security Forum 4 mars 2010
Prochain SlideShare
Chargement dans…5
×

Geneva Application Security Forum: Vers une authentification plus forte dans les applications web"

1 204 vues

Publié le

Publié dans : Technologie, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 204
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Geneva Application Security Forum: Vers une authentification plus forte dans les applications web"

  1. 1. Authentifications Gestion des Sessions Contrôle d'Accès Le point de vue d' OWASP ASVS (Application Security Verification Standard ) Geneva Application Security Forum 4 mars 2010
  2. 2. Philippe Léothaud : chez BeeWare depuis 2003, d'abord en charge de l'offre Web SSO puis CTO depuis 2006 Bee Ware : – éditeur d'un WAF depuis 2001 – solution de WebSSO depuis 2003 – outil d'Application Security Assessment depuis 2005 – Gateway XML complète depuis 2007 Aujourd'hui, regroupement de toutes ces fonctionnalités sur une plate-forme unique : i-Suite But : fournir aux Systèmes d'Information une gamme de modules pilotés par une console centralisée couvrant l'intégralité des besoins techniques des infrastructures applicatives métier : – sécurité – contrôle d'accès – manipulation des flux – optimisation de la bande passante – haute disponibilité et répartition de charge – audit et monitoring des flux. Geneva Application Security Forum 4 mars 2010
  3. 3. Qu'est-ce que ASVS Unité de mesure du niveau de sécurité d'une application Web Liste exhaustive des contrôles à mettre en place pour garantir un niveau de sécurité donné Base d'exigences pour la contractualisation des vérifications de sécurité. 3 Geneva Application Security Forum 4 mars 2010
  4. 4. Quelles réponses apporte l'ASVS Quels contrôles de sécurité sont nécessaires pour garantir à mon application le niveau de sécurité attendu ? Quelles doivent être les parties couvertes et le niveau d'exigence lors de ces contrôles de sécurité ? Quel est le niveau de sécurité d'une application Web ? 4 Geneva Application Security Forum 4 mars 2010
  5. 5. Exigences de vérification de l'ASVS Exigences d'architecture Exigences de vérification de la sécurité Liste détaillée des vérifications à effectuer, par niveau 5 Geneva Application Security Forum 4 mars 2010
  6. 6. Exigences de reporting de l'ASVS R1 –Introduction R2 – Description de l'application R3 – Approche architecturale R4 – Résultats de la vérification 6 Geneva Application Security Forum 4 mars 2010
  7. 7. Les niveaux de vérification de l'ASVS The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. 7 Geneva Application Security Forum 4 mars 2010
  8. 8. Définition des niveaux Niveau 1 – Vérification automatisée (vérification partielle de l'application) − Niveau 1A –Scan dynamique − Niveau 1B – Analyse du code source Niveau 2 – Vérification manuelle (vérification partielle de l'application) − Niveau 2A – Test d'intrusion − Niveau 2B – Revue de code Niveau 3 – Vérification de la conception Niveau 4 – Vérification des fonctions internes 8 Geneva Application Security Forum 4 mars 2010
  9. 9. Niveau 1 en détail Vérification automatisée en «boite noire» de l'application vue soit comme un tout, soit comme un groupe de composants Le chemin d'une requête à travers l'application n'a pas besoin d'être documenté 9 Geneva Application Security Forum 4 mars 2010
  10. 10. Niveau 1A et niveau 1B Niveau 1A Niveau 1B Analyse dynamique partielle Analyse partielle du code source Les 2 sont nécessaires pour obtenir un niveau 1 complet 10 Geneva Application Security Forum 4 mars 2010
  11. 11. Niveau 2 en détail Vérification manuelle d'une application vue comme un groupe de composants organisés selon une architecture de haut niveau Les chemins des requêtes testées à travers l'application doivent être documentés 11 Geneva Application Security Forum 4 mars 2010
  12. 12. Niveau 2A et niveau 2B Niveau 2A Niveau 2B Tests de pénétration manuels Revue manuelle du code source Les 2 sont nécessaires pour obtenir un niveau 2 complet. 12 Geneva Application Security Forum 4 mars 2010
  13. 13. Niveau 3 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 2, modélisation des menaces contre les assets critiques et vérification de la conception Tous les chemins des requêtes à travers l'application doivent être documentés 13 Geneva Application Security Forum 4 mars 2010
  14. 14. Niveau 4 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 3, prise en compte du code des librairies et des frameworks 14 Geneva Application Security Forum 4 mars 2010
  15. 15. ASVS dans le Cycle de Vie des Développements 15 Geneva Application Security Forum 4 mars 2010
  16. 16. Les 14 familles d’exigences V1. Architecture sécurisée V9. Protection des données V2. Authentification V10. Sécurité des voies de V3. Gestion de Sessions communications V4. Contrôle d'accès V11. Sécurité de HTTP V5. Validations des entrées V12. Configuration de la V6. Encodage et sécurité échappement des sorties V13. Recherche de codes V7. Cryptographie malicieux V8. Gestion des erreurs et V14. Sécurité interne de la journalisation 16 Geneva Application Security Forum 4 mars 2010
  17. 17. Authentification « Les exigences de vérification d'authentification définissent un ensemble d'exigences pour générer et gérer les jetons d'authentification utilisateur de manière sûre » 17 Geneva Application Security Forum 4 mars 2010
  18. 18. Authentification 18 Geneva Application Security Forum 4 mars 2010
  19. 19. Authentification 19 Geneva Application Security Forum 4 mars 2010
  20. 20. Gestion des sessions « Les exigences de vérification de gestion des sessions, définissent un ensemble d'exigences pour utiliser de manière sûre : requêtes HTTP, réponses, sessions, cookies, en-têtes (headers) et la journalisation de sorte à gérer les sessions correctement. Le tableau ci-dessous définit les exigences de vérification correspondantes s'appliquant aux quatre niveaux de vérification » 20 Geneva Application Security Forum 4 mars 2010
  21. 21. Gestion des sessions 21 Geneva Application Security Forum 4 mars 2010
  22. 22. Gestion des sessions 22 Geneva Application Security Forum 4 mars 2010
  23. 23. Contrôle d’accès « Ces exigences définissent les points requis de vérification de contrôles d'accès pour les URLs, les fonctionnalités commerciales, les données, les services ainsi que les fichiers. Le tableau ci-dessous définit les exigences de vérification correspondantes qui s'appliquent pour chacun des quatre niveaux de vérification » 23 Geneva Application Security Forum 4 mars 2010
  24. 24. Contrôle d’accès 24 Geneva Application Security Forum 4 mars 2010
  25. 25. Contrôle d’accès 25 Geneva Application Security Forum 4 mars 2010

×