SlideShare une entreprise Scribd logo
1  sur  54
Télécharger pour lire hors ligne
Automa'ser	
  les	
  tests	
  sécurité	
  Web


            Sébas'en	
  Gioria
            OWASP	
  France	
  Leader	
  
            OWASP	
  Global	
  Educa'on	
  Commi<ee
            CONFOO-­‐	
  1	
  Mars	
  2013	
  -­‐	
  Montréal	
  -­‐	
  Canada




Saturday, March 2, 13
http://www.google.fr/#q=sebastien gioria
         ‣Consultant Indépendant en Sécurité Applicative
         ‣OWASP France Leader & Founder -
         Evangéliste

         ‣OWASP Global Education Comittee
         Member (sebastien.gioria@owasp.org)

          Twitter :@SPoint




Saturday, March 2, 13              2
O-­‐ou-­‐a-­‐ss-­‐pe?


        • OWASP	
  =	
  Open	
  Web	
  Applica6on	
  Security	
  Project
              – Il	
  y	
  a	
  le	
  mot	
  “web”	
  mais	
  en	
  fait	
  …
        • Mission:
              – Global,	
  ouvert,	
  non	
  lucra6f,	
  indépendant.
        • Communauté	
  OWASP:
              – 30,000	
  abonnés	
  aux	
  listes	
  de	
  diffusion	
  
              – 200	
  sec6ons	
  régionales	
  ac6ves	
  dans	
  70	
  pays
              – 1’600	
  membres	
  officiels,	
  56	
  entreprises	
  partenaires
              – 69	
  ins6tu6ons	
  académiques

Saturday, March 2, 13
Saturday, March 2, 13
Saturday, March 2, 13
Apprendre




Saturday, March 2, 13
Apprendre




Saturday, March 2, 13
Apprendre   Contractualiser




Saturday, March 2, 13
Apprendre   Contractualiser




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




                    Vérifier




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




                    Vérifier




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




                    Vérifier       Tester




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




                    Vérifier       Tester




Saturday, March 2, 13
Apprendre   Contractualiser   Concevoir




                    Vérifier       Tester          Améliorer




Saturday, March 2, 13
OWASP	
  Canada


        • Sec6ons	
  OWASP	
  au	
  Canada:
              – Alberta:	
  Edmonton	
  &	
  Lethbridge
              – Bri6sh	
  Columbia:	
  Okanagan	
  &	
  Vancouver
              – Manitoba:	
  Winnipeg
              – New	
  Brunswick:	
  New	
  Brunswick
              – Ontario:	
  Niagara,	
  Toronto,	
  Obawa
              – Quebec:	
  Montréal,	
  Quebec	
  city




Saturday, March 2, 13
Agenda



        • Le	
  développement	
  et	
  la	
  sécurité
        • Les	
  différents	
  types	
  de	
  tests
        • Des	
  ou6ls
        • Comment	
  intégrer	
  ses	
  ou6ls	
  dans	
  sa	
  chaine




                                                                        6

Saturday, March 2, 13
Contexte




Demandez	
  a	
  regarder	
  la	
  CVE....
                                                  © Verizon   7

Saturday, March 2, 13
Contexte



            • Les	
  applica6ons	
  Web	
  sont	
  fortement	
  exposées




Demandez	
  a	
  regarder	
  la	
  CVE....
                                                              © Verizon    7

Saturday, March 2, 13
Contexte



            • Les	
  applica6ons	
  Web	
  sont	
  fortement	
  exposées




Demandez	
  a	
  regarder	
  la	
  CVE....
                                                              © Verizon    7

Saturday, March 2, 13
Contexte



            • Les	
  applica6ons	
  Web	
  sont	
  fortement	
  exposées




           © Verizon




Demandez	
  a	
  regarder	
  la	
  CVE....
                                                              © Verizon    7

Saturday, March 2, 13
Contexte



            • Les	
  applica6ons	
  Web	
  sont	
  fortement	
  exposées




           © Verizon




     • Mais	
  pas	
  par	
  des	
  abaques	
  complexes

Demandez	
  a	
  regarder	
  la	
  CVE....
                                                              © Verizon    7

Saturday, March 2, 13
Contexte



            • Les	
  applica6ons	
  Web	
  sont	
  fortement	
  exposées




           © Verizon




     • Mais	
  pas	
  par	
  des	
  abaques	
  complexes

Demandez	
  a	
  regarder	
  la	
  CVE....
                                                              © Verizon    7

Saturday, March 2, 13
Sécurité	
  &	
  Le	
  cycle	
  de	
  
                                                      développement


         • Corriger	
  une	
  vulnérabilité	
  peut	
  couter	
  très	
  cher	
  




    Demandez	
  à	
  Microsoi	
                                                             8

Saturday, March 2, 13
Sécurité	
  &	
  Le	
  cycle	
  de	
  
                                                       développement


         • Et	
  demander	
  du	
  temps	
  !	
  




    Demandez	
  à	
  Oracle....                                                              9

Saturday, March 2, 13
Sécurité	
  &	
  Le	
  cycle	
  de	
  
                                                                                                     développement


             • Pourtant	
  il	
  existe	
  des	
  méthodes	
  de	
  sécurisa6on




                                                                                                                                           10
Ca	
  parait	
  compliqué,	
  mais	
  je	
  l’ai	
  présenté	
  à	
  confoo	
  précédemment....
Saturday, March 2, 13
Sécurité	
  &	
  Le	
  cycle	
  de	
  
                                                                                                     développement


             • Pourtant	
  il	
  existe	
  des	
  méthodes	
  de	
  sécurisa6on




                                                                                                                                           10
Ca	
  parait	
  compliqué,	
  mais	
  je	
  l’ai	
  présenté	
  à	
  confoo	
  précédemment....
Saturday, March 2, 13
Sécurité	
  &	
  Le	
  cycle	
  de	
  
                                                                                                     développement


             • Pourtant	
  il	
  existe	
  des	
  méthodes	
  de	
  sécurisa6on




                                                                                                                                           10
Ca	
  parait	
  compliqué,	
  mais	
  je	
  l’ai	
  présenté	
  à	
  confoo	
  précédemment....
Saturday, March 2, 13
Sécurité	
  &	
  cycle	
  de	
  
                                                          développement


        • Mais	
  la	
  sécurité	
  est	
  un	
  processus	
  par	
  un	
  produit	
  !	
  
          (c)	
  Bruce	
  Schneier




                                                                                            11

Saturday, March 2, 13
Sécurité	
  &	
  cycle	
  de	
  
                                                          développement


        • Mais	
  la	
  sécurité	
  est	
  un	
  processus	
  par	
  un	
  produit	
  !	
  
          (c)	
  Bruce	
  Schneier




                                                                                            11

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                           vulnérabilités	
  ?




                                                          12

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                                                           vulnérabilités	
  ?



                ✓Juste	
  pour	
  les	
  trouver	
  ?




                                                                                          12

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                                                              vulnérabilités	
  ?



                ✓Juste	
  pour	
  les	
  trouver	
  ?
                ✓Pour	
  savoir	
  ou	
  elles	
  se	
  trouvent	
  exactement	
  dans	
  
                        le	
  code	
  ?	
  




                                                                                             12

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                                                                vulnérabilités	
  ?



                ✓Juste	
  pour	
  les	
  trouver	
  ?
                ✓Pour	
  savoir	
  ou	
  elles	
  se	
  trouvent	
  exactement	
  dans	
  
                 le	
  code	
  ?	
  
                ✓Pour	
  s’assurer	
  qu’elles	
  ne	
  sont	
  pas	
  dans	
  notre	
  
                 applica6on




                                                                                               12

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                                                              vulnérabilités	
  ?



                ✓Juste	
  pour	
  les	
  trouver	
  ?
                ✓Pour	
  savoir	
  ou	
  elles	
  se	
  trouvent	
  exactement	
  dans	
  
                 le	
  code	
  ?	
  
                ✓Pour	
  s’assurer	
  qu’elles	
  ne	
  sont	
  pas	
  dans	
  notre	
  
                 applica6on
                ✓Pour	
  se	
  conformer	
  à	
  une	
  exigence	
  réglementaire	
  ?	
  




                                                                                             12

Saturday, March 2, 13
Pourquoi	
  chercher	
  des	
  
                                                                                 vulnérabilités	
  ?



                ✓Juste	
  pour	
  les	
  trouver	
  ?
                ✓Pour	
  savoir	
  ou	
  elles	
  se	
  trouvent	
  exactement	
  dans	
  
                 le	
  code	
  ?	
  
                ✓Pour	
  s’assurer	
  qu’elles	
  ne	
  sont	
  pas	
  dans	
  notre	
  
                 applica6on
                ✓Pour	
  se	
  conformer	
  à	
  une	
  exigence	
  réglementaire	
  ?	
  
                          Quelle	
  technique	
  permet	
  de	
  répondre	
  le	
  mieux	
  à	
  l’une	
  ou	
  toutes	
  ses	
  ques6ons	
  ?

                          ➡Revue	
  de	
  code	
  manuelle	
  ?
                          ➡Test	
  d’intrusion	
  applica6f	
  manuel	
  ?


                                                                                                                                       12

Saturday, March 2, 13
De	
  quoi	
  parle-­‐t-­‐on	
  ?




                                                            13

Saturday, March 2, 13
De	
  quoi	
  parle-­‐t-­‐on	
  ?



                        • Revue	
  de	
  code	
  :	
  
                            – Accès	
  au	
  code	
  source
                            – Accès	
  à	
  la	
  documenta6on	
  fonc6onnelle
                            – Accès	
  à	
  la	
  configura6on




                                                                                                13

Saturday, March 2, 13
De	
  quoi	
  parle-­‐t-­‐on	
  ?



                        • Revue	
  de	
  code	
  :	
  
                            – Accès	
  au	
  code	
  source
                            – Accès	
  à	
  la	
  documenta6on	
  fonc6onnelle
                            – Accès	
  à	
  la	
  configura6on
                        • Test	
  d’intrusion	
  applica6f	
  :	
  
                            – Accès	
  via	
  le	
  réseau	
  à	
  l’applica6on	
  (protégée	
  ou	
  non	
  par	
  
                              des	
  éléments	
  d’infrastructure)
                            – Temps	
  limité
                            – Compétence	
  du	
  testeur	
  limitée




                                                                                                                13

Saturday, March 2, 13
De	
  quoi	
  parle-­‐t-­‐on	
  ?



                        • Revue	
  de	
  code	
  :	
  
                             – Accès	
  au	
  code	
  source
                             – Accès	
  à	
  la	
  documenta6on	
  fonc6onnelle
                             – Accès	
  à	
  la	
  configura6on
                        • Test	
  d’intrusion	
  applica6f	
  :	
  
                             – Accès	
  via	
  le	
  réseau	
  à	
  l’applica6on	
  (protégée	
  ou	
  non	
  par	
  
                               des	
  éléments	
  d’infrastructure)
                             – Temps	
  limité
                             – Compétence	
  du	
  testeur	
  limitée
                        L’u6lisa6on	
  d’ou6ls	
  permet	
  d’aider	
  la	
  réalisa6on	
  de	
  la	
  revue	
  ou	
  du	
  test



                                                                                                                                   13

Saturday, March 2, 13
Evaluer	
  le	
  niveau	
  de	
  sécurité	
  
                                                                     d’une	
  applica6on	
  ?	
  


        • Référen'el	
  :
              –OWASP	
  Top10	
  ?
                        • L’un	
  des	
  plus	
  connu,	
  orienté	
  Risques
              –SANS	
  Top25	
  ?	
  
                        • Plus	
  orienté	
  Code
              –CWE	
  ?
                        • Un	
  peu	
  trop	
  complexe	
  ?
              –OWASP	
  ASVS	
  ?
                        • Plus	
  orienté	
  exigences	
  fonc6onnelles

                                                                                                           14

Saturday, March 2, 13
15

Saturday, March 2, 13
Analyse	
  du	
  code



        • Avantages
              – Permet	
  de	
  voir	
  des	
  failles	
  non	
  détectées	
  par	
  un	
  test	
  de	
  type	
  test	
  
                d’intrusion
              – Permet	
  de	
  découvrir	
  des	
  problèmes	
  de	
  type	
  qualité	
  de	
  code	
  qui	
  
                conduiraient	
  à	
  des	
  abaques	
  DOS.
              – Les	
  ou6ls	
  commerciaux	
  sont	
  matures
        • Inconvénients
              – Les	
  ou6ls	
  open-­‐source	
  sont	
  très	
  immatures
              – Peut	
  être	
  long
              – Nécessite	
  des	
  compétences	
  pointues	
  en	
  développement	
  dans	
  le	
  langage	
  
                de	
  développement	
  couplées	
  à	
  des	
  compétences	
  sécurité.
              – Dans	
  le	
  cas	
  d’une	
  externalisa6on	
  de	
  l’analyse,	
  cebe	
  dernière	
  doit	
  être	
  
                fortement	
  encadrée
                                                                                                                            16

Saturday, March 2, 13
17

Saturday, March 2, 13
Tests	
  d	
  intrusions



        • Avantages
              –Les	
  compétences	
  sur	
  ce	
  type	
  de	
  démarche	
  sont	
  faciles	
  a	
  
               trouver
              –Il	
  existe	
  des	
  ou6ls	
  open-­‐sources	
  matures
              –Cela	
  permet	
  de	
  tester	
  l’ensemble	
  de	
  la	
  chaine	
  de	
  
               produc6on;	
  infrastructure	
  et	
  logiciel	
  
        • Inconvénients
              –Le	
  temps	
  impar6	
  est	
  souvent	
  trop	
  faible	
  pour	
  tout	
  découvrir
              –Le	
  test	
  peut	
  mener	
  à	
  une	
  destruc6on	
  de	
  données;	
  il	
  ne	
  doit	
  
               pas	
  être	
  effectuer	
  directement	
  sur	
  la	
  produc'on.
              –Il	
  ne	
  permet	
  pas	
  de	
  s’assurer	
  d’un	
  niveau	
  de	
  sécurité.
                                                                                                            18

Saturday, March 2, 13
Les	
  ou6ls



        • Buts	
  :	
  
              –Améliorer	
  l’efficacité	
  des	
  tests	
  
              –Permebre	
  l’industrialisa6on	
  des	
  tests
        • Différentes	
  catégories	
  :	
  
              –Scanners	
  Web	
  ;	
  arachni,	
  w3af,	
  ...
              –Proxy	
  de	
  sécurité	
  ;	
  Burp	
  Suite,	
  Zap,	
  Vega
              –Modules	
  navigateurs	
  ;	
  Firecat,	
  
              –Ou6ls	
  spécifiques	
  ;	
  sqlmap,	
  ...


                                                                                     19

Saturday, March 2, 13
L’automa6sa6on	
  



        • Pour	
  automa6ser	
  les	
  tests	
  sécurité,	
  il	
  est	
  
          nécessaire	
  d’avoir	
  un	
  ou6l	
  	
  :	
  
              –disposant	
  d’une	
  base	
  importante	
  de	
  tests	
  (ou	
  
               vulnérabilités)
              –permebant	
  de	
  gérer	
  différents	
  points	
  d’entrée,	
  voire	
  
               de	
  découverte	
  de	
  ces	
  points
              –permebant	
  de	
  générer	
  un	
  rapport	
  “compréhensible”
              –intégrable	
  et	
  scriptable	
  dans	
  un	
  environnement	
  de	
  
               “build”

                                                                                           20

Saturday, March 2, 13
W3AF


                        hbp://w3af.org/




                                                 21

Saturday, March 2, 13
Arachni


                        hbp://arachni-­‐scanner.com/




                                                                 22

Saturday, March 2, 13
Hudson


                        hbp://hudson-­‐ci.org/




                                                          23

Saturday, March 2, 13
Démos



                                24

Saturday, March 2, 13
• @SPoint

                        • sebas6en.gioria@owasp.org




Saturday, March 2, 13
• @SPoint

                              • sebas6en.gioria@owasp.org


    Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert]




Saturday, March 2, 13

Contenu connexe

Tendances

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 

Tendances (19)

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualité
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 

En vedette

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offerryad_o
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Como incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosComo incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosRecursos Cristianos. Org
 
Bac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieurBac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieur0596957s
 
27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamenteRecursos Cristianos. Org
 
E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?Yannick Bouvard
 
Meetup django-2012-06-14
Meetup django-2012-06-14Meetup django-2012-06-14
Meetup django-2012-06-14nautilebleu
 

En vedette (20)

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Security testautomation
Security testautomationSecurity testautomation
Security testautomation
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Plaquette A4
Plaquette A4Plaquette A4
Plaquette A4
 
Cristianismo básico
Cristianismo básicoCristianismo básico
Cristianismo básico
 
Fotografias Tolerancia
Fotografias ToleranciaFotografias Tolerancia
Fotografias Tolerancia
 
ipb Les Marques Médias
ipb Les Marques Médiasipb Les Marques Médias
ipb Les Marques Médias
 
Como incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosComo incrementar nuestra comunion con dios
Como incrementar nuestra comunion con dios
 
Bac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieurBac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieur
 
Les réseaux sociaux ffcld ségry 2012
Les réseaux sociaux ffcld ségry 2012Les réseaux sociaux ffcld ségry 2012
Les réseaux sociaux ffcld ségry 2012
 
Terminologia
TerminologiaTerminologia
Terminologia
 
27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente
 
Ecotecnologias
EcotecnologiasEcotecnologias
Ecotecnologias
 
E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?
 
Hacker
HackerHacker
Hacker
 
1 George
1 George1 George
1 George
 
Verdad
VerdadVerdad
Verdad
 
Meetup django-2012-06-14
Meetup django-2012-06-14Meetup django-2012-06-14
Meetup django-2012-06-14
 

Similaire à 2013 03-01 automatiser les tests sécurité

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfJoelChouamou
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Similaire à 2013 03-01 automatiser les tests sécurité (7)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02Sébastien GIORIA
 

Plus de Sébastien GIORIA (17)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

Dernier

LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...
LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...
LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...Faga1939
 
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdf
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdfEtude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdf
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdfsnapierala
 
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IA
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IAMilo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IA
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IAUGAIA
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudOCTO Technology
 
GUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalGUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalNicolas Georgeault
 
Intelligence Artificielle: Vers l'ère de l'imagination
Intelligence Artificielle: Vers l'ère de l'imaginationIntelligence Artificielle: Vers l'ère de l'imagination
Intelligence Artificielle: Vers l'ère de l'imaginationTony Aubé
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...OCTO Technology
 

Dernier (7)

LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...
LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...
LA SUPERINTELLIGENCE ARTIFICIELLE, SES BÉNÉFICES ET NUIRES ET QUE FAIRE POUR ...
 
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdf
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdfEtude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdf
Etude_Bpifrance_-_Les_Greentech_francaises_-_3eme_edition_annuelle_2024.pdf
 
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IA
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IAMilo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IA
Milo-AI Milo AI Congress est conçu pour transformer votre compréhension de l'IA
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
 
GUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - MontréalGUM365 - Rencontre mensuelle Avril 2024 - Montréal
GUM365 - Rencontre mensuelle Avril 2024 - Montréal
 
Intelligence Artificielle: Vers l'ère de l'imagination
Intelligence Artificielle: Vers l'ère de l'imaginationIntelligence Artificielle: Vers l'ère de l'imagination
Intelligence Artificielle: Vers l'ère de l'imagination
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
 

2013 03-01 automatiser les tests sécurité

  • 1. Automa'ser  les  tests  sécurité  Web Sébas'en  Gioria OWASP  France  Leader   OWASP  Global  Educa'on  Commi<ee CONFOO-­‐  1  Mars  2013  -­‐  Montréal  -­‐  Canada Saturday, March 2, 13
  • 2. http://www.google.fr/#q=sebastien gioria ‣Consultant Indépendant en Sécurité Applicative ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPoint Saturday, March 2, 13 2
  • 3. O-­‐ou-­‐a-­‐ss-­‐pe? • OWASP  =  Open  Web  Applica6on  Security  Project – Il  y  a  le  mot  “web”  mais  en  fait  … • Mission: – Global,  ouvert,  non  lucra6f,  indépendant. • Communauté  OWASP: – 30,000  abonnés  aux  listes  de  diffusion   – 200  sec6ons  régionales  ac6ves  dans  70  pays – 1’600  membres  officiels,  56  entreprises  partenaires – 69  ins6tu6ons  académiques Saturday, March 2, 13
  • 8. Apprendre Contractualiser Saturday, March 2, 13
  • 9. Apprendre Contractualiser Saturday, March 2, 13
  • 10. Apprendre Contractualiser Concevoir Saturday, March 2, 13
  • 11. Apprendre Contractualiser Concevoir Saturday, March 2, 13
  • 12. Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
  • 13. Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
  • 14. Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
  • 15. Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
  • 16. Apprendre Contractualiser Concevoir Vérifier Tester Améliorer Saturday, March 2, 13
  • 17. OWASP  Canada • Sec6ons  OWASP  au  Canada: – Alberta:  Edmonton  &  Lethbridge – Bri6sh  Columbia:  Okanagan  &  Vancouver – Manitoba:  Winnipeg – New  Brunswick:  New  Brunswick – Ontario:  Niagara,  Toronto,  Obawa – Quebec:  Montréal,  Quebec  city Saturday, March 2, 13
  • 18. Agenda • Le  développement  et  la  sécurité • Les  différents  types  de  tests • Des  ou6ls • Comment  intégrer  ses  ou6ls  dans  sa  chaine 6 Saturday, March 2, 13
  • 19. Contexte Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 20. Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 21. Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 22. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 23. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 24. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 25. Sécurité  &  Le  cycle  de   développement • Corriger  une  vulnérabilité  peut  couter  très  cher   Demandez  à  Microsoi   8 Saturday, March 2, 13
  • 26. Sécurité  &  Le  cycle  de   développement • Et  demander  du  temps  !   Demandez  à  Oracle.... 9 Saturday, March 2, 13
  • 27. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 28. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 29. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 30. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
  • 31. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
  • 32. Pourquoi  chercher  des   vulnérabilités  ? 12 Saturday, March 2, 13
  • 33. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? 12 Saturday, March 2, 13
  • 34. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   12 Saturday, March 2, 13
  • 35. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on 12 Saturday, March 2, 13
  • 36. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   12 Saturday, March 2, 13
  • 37. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   Quelle  technique  permet  de  répondre  le  mieux  à  l’une  ou  toutes  ses  ques6ons  ? ➡Revue  de  code  manuelle  ? ➡Test  d’intrusion  applica6f  manuel  ? 12 Saturday, March 2, 13
  • 38. De  quoi  parle-­‐t-­‐on  ? 13 Saturday, March 2, 13
  • 39. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on 13 Saturday, March 2, 13
  • 40. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée 13 Saturday, March 2, 13
  • 41. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée L’u6lisa6on  d’ou6ls  permet  d’aider  la  réalisa6on  de  la  revue  ou  du  test 13 Saturday, March 2, 13
  • 42. Evaluer  le  niveau  de  sécurité   d’une  applica6on  ?   • Référen'el  : –OWASP  Top10  ? • L’un  des  plus  connu,  orienté  Risques –SANS  Top25  ?   • Plus  orienté  Code –CWE  ? • Un  peu  trop  complexe  ? –OWASP  ASVS  ? • Plus  orienté  exigences  fonc6onnelles 14 Saturday, March 2, 13
  • 44. Analyse  du  code • Avantages – Permet  de  voir  des  failles  non  détectées  par  un  test  de  type  test   d’intrusion – Permet  de  découvrir  des  problèmes  de  type  qualité  de  code  qui   conduiraient  à  des  abaques  DOS. – Les  ou6ls  commerciaux  sont  matures • Inconvénients – Les  ou6ls  open-­‐source  sont  très  immatures – Peut  être  long – Nécessite  des  compétences  pointues  en  développement  dans  le  langage   de  développement  couplées  à  des  compétences  sécurité. – Dans  le  cas  d’une  externalisa6on  de  l’analyse,  cebe  dernière  doit  être   fortement  encadrée 16 Saturday, March 2, 13
  • 46. Tests  d  intrusions • Avantages –Les  compétences  sur  ce  type  de  démarche  sont  faciles  a   trouver –Il  existe  des  ou6ls  open-­‐sources  matures –Cela  permet  de  tester  l’ensemble  de  la  chaine  de   produc6on;  infrastructure  et  logiciel   • Inconvénients –Le  temps  impar6  est  souvent  trop  faible  pour  tout  découvrir –Le  test  peut  mener  à  une  destruc6on  de  données;  il  ne  doit   pas  être  effectuer  directement  sur  la  produc'on. –Il  ne  permet  pas  de  s’assurer  d’un  niveau  de  sécurité. 18 Saturday, March 2, 13
  • 47. Les  ou6ls • Buts  :   –Améliorer  l’efficacité  des  tests   –Permebre  l’industrialisa6on  des  tests • Différentes  catégories  :   –Scanners  Web  ;  arachni,  w3af,  ... –Proxy  de  sécurité  ;  Burp  Suite,  Zap,  Vega –Modules  navigateurs  ;  Firecat,   –Ou6ls  spécifiques  ;  sqlmap,  ... 19 Saturday, March 2, 13
  • 48. L’automa6sa6on   • Pour  automa6ser  les  tests  sécurité,  il  est   nécessaire  d’avoir  un  ou6l    :   –disposant  d’une  base  importante  de  tests  (ou   vulnérabilités) –permebant  de  gérer  différents  points  d’entrée,  voire   de  découverte  de  ces  points –permebant  de  générer  un  rapport  “compréhensible” –intégrable  et  scriptable  dans  un  environnement  de   “build” 20 Saturday, March 2, 13
  • 49. W3AF hbp://w3af.org/ 21 Saturday, March 2, 13
  • 50. Arachni hbp://arachni-­‐scanner.com/ 22 Saturday, March 2, 13
  • 51. Hudson hbp://hudson-­‐ci.org/ 23 Saturday, March 2, 13
  • 52. Démos 24 Saturday, March 2, 13
  • 53. • @SPoint • sebas6en.gioria@owasp.org Saturday, March 2, 13
  • 54. • @SPoint • sebas6en.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] Saturday, March 2, 13