SlideShare une entreprise Scribd logo
The OWASP Foundation
                                                                                             http://www.owasp.org




Les 10 Risques sur les
       mobiles
                                Sébastien Gioria
                        OWASP France Leader
                   OWASP Global Education Committee




                Confoo.ca
   29 Février 2012 - Montréal - Canada
                                          Copyright © The OWASP Foundation
    Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
http://www.google.fr/#q=sebastien gioria
                   ‣Responsable de la branche Audit S.I et Sécurité
                   au sein du cabinet Groupe Y

                   ‣OWASP France Leader & Founder - Evangéliste
                   ‣OWASP Global Education Comittee Member
                   (sebastien.gioria@owasp.org)


                   ‣Responsable du Groupe Sécurité des
                   Applications Web au CLUSIF
Twitter :@SPoint

                       CISA && ISO 27005 Risk Manager

   ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information
   ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms
   ‣ Expertise Technique
    - PenTesting,
    - Secure-SDLC
    - Gestion du risque, Architectures fonctionnelles, Audits
    - Consulting et Formation en Réseaux et Sécurité
                                             2
                                                                                    2
http://www.google.fr/#q=sebastien gioria
                   ‣Responsable de la branche Audit S.I et Sécurité
                   au sein du cabinet Groupe Y

                   ‣OWASP France Leader & Founder - Evangéliste
                   ‣OWASP Global Education Comittee Member
                   (sebastien.gioria@owasp.org)


                   ‣Responsable du Groupe Sécurité des
                   Applications Web au CLUSIF
Twitter :@SPoint

                       CISA && ISO 27005 Risk Manager

   ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information
   ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms
   ‣ Expertise Technique
    - PenTesting,
    - Secure-SDLC
    - Gestion du risque, Architectures fonctionnelles, Audits
    - Consulting et Formation en Réseaux et Sécurité
                                             2
                                                                                    2
Top 10 Risques
Top 10 Risques
• Vision multi-plateforme :
 • Android, IOS, Nokia, Windows, ...
• Focus sur les risques plutôt que les
  vulnérabilités.
• Utilisation de l’OWASP Risk Rating
  Methodology pour le classement
 • https://www.owasp.org/index.php/
    OWASP_Risk_Rating_Methodology

                                         4
Les 10 risques
                                  Risque
M1 - Stockage de données non sécurisé

M2 - Contrôles serveur défaillants

M3 - Protection insuffisante lors du transport de données

M4 - Injection client

M5 - Authentification et habilitation defaillante

M6 - Mauvaise gestion des sessions

M7- Utilisation de données d’entrée pour effectuer des décisions sécurité.

M8 - Perte de données via des canaux cachés

M9 - Chiffrement défectueux

M10 - Perte d’information sensible

                                                                             5
M1 - Stockage de données non sécurisé

• Les données sensibles ne sont pas              Impact
   protégées
                                            • Perte de
• S’applique aux données locales, tout        confidentialité sur
   comme celles disponibles dans le cloud
                                              les données
• Généralement du à :
                                            • Divulgation
  • Défaut de chiffrement des données
                                              d’authentifiants
  • Cache de données qui ne sont par
     normalement prévue                     • Violation de vie
  • Permission globales ou faibles            privée
  • Non suivi des bonnes pratiques de la    • Non-compliance
     plateforme

                                                                    6
M1 - Stockage de données non sécurisé




                                        7
M1 - Stockage de données non sécurisé




                                        7
M1 - Stockage de données non sécurisé




                                        7
M1 - Stockage de données non sécurisé




                                        7
M1 - Prévention




                  8
M1 - Prévention

1. Ne stocker que ce qui est réellement
   nécessaire




                                          8
M1 - Prévention

1. Ne stocker que ce qui est réellement
   nécessaire
2. Ne jamais stocker de données sur des
   éléments publiques (SD-Card...)




                                          8
M1 - Prévention

1. Ne stocker que ce qui est réellement
   nécessaire
2. Ne jamais stocker de données sur des
   éléments publiques (SD-Card...)
3. Utiliser les APIs de chiffrement et les
   conteneurs sécurisés fournis par la plateforme.



                                                     8
M1 - Prévention

1. Ne stocker que ce qui est réellement
   nécessaire
2. Ne jamais stocker de données sur des
   éléments publiques (SD-Card...)
3. Utiliser les APIs de chiffrement et les
   conteneurs sécurisés fournis par la plateforme.
4. Ne pas donner des droits en “world writeable”
   ou “world readable”
                                                     8
9
M2- Contrôles serveur défaillants

• S’applique uniquement aux             Impact
  services de backend.
                                    • Perte de
• Non spécifique aux mobiles.         confidentialité
                                      sur des
• Il n’est pas plus facile de
                                      données
  faire confiance au client.
• Il est nécessaire de revoir les   • Perte
                                      d’intégrité sur
  contrôles actuels classiques.
                                      des données

                                                        10
M2 - Contrôles serveur défaillants

       OWASP Top 10                  OWASP Cloud Top 10




• https://www.owasp.org/index.php/   • https://www.owasp.org/images/4/47/Cloud-
  Category:OWASP_Top_Ten_Project       Top10-Security-Risks.pdf

                                                                                  11
M2- Prévention




                 12
M2- Prévention

1. Comprendre les nouveaux risques induits par
   les applications mobiles sur les architectures
   existantes




                                                    12
M2- Prévention

1. Comprendre les nouveaux risques induits par
   les applications mobiles sur les architectures
   existantes




                                                    12
M2- Prévention

1. Comprendre les nouveaux risques induits par
   les applications mobiles sur les architectures
   existantes


3. OWASP Top 10, Cloud Top 10, Web Services Top 10




                                                     12
M2- Prévention

1. Comprendre les nouveaux risques induits par
   les applications mobiles sur les architectures
   existantes


3. OWASP Top 10, Cloud Top 10, Web Services Top 10




                                                     12
M2- Prévention

1. Comprendre les nouveaux risques induits par
   les applications mobiles sur les architectures
   existantes


3. OWASP Top 10, Cloud Top 10, Web Services Top 10


5. Voir les Cheat sheets, guides de développement,
   l’ESAPI

                                                     12
13
M3 - Protection insuffisante lors du
              transport de données
• Perte complète de                                        Impact
  chiffrement des données
                                                        • Attacks MITM
  transmises.
                                                        • Modification
• Faible chiffrement des                                  des données
  données transmises.
                                                          transmises
• Fort chiffrement, mais oubli                          • Perte de
  des alertes sécurité
                                                          confidentialité
 •   Ignorer les erreurs de validation de certificats

 •   Retour en mode non chiffré après erreurs
                                                                            14
M3 - Protection insuffisante lors du
             transport de données
Exemple : Protocol d’authentification des clients
Google
• L’entete d’authenfication est envoyé sur HTTP
• Lorsqu’un utilisateur se connecte via un WIFI,
      l’application automatiquement envoie le jeton dans
      le but de synchroniser les données depuis le
      serveur.
• Il suffit d’écouter le réseau et de voler cet élément
      pour usurper l’identité
  •     http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
                                                                                    15
M3 - Prévention




                  16
M3 - Prévention



1. Vérifier que les données sensibles quittent
   l’appareil chiffrées.




                                                 16
M3 - Prévention



1. Vérifier que les données sensibles quittent
   l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
   NFC, GSM, ....




                                                     16
M3 - Prévention



1. Vérifier que les données sensibles quittent
   l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
   NFC, GSM, ....
3. Ne pas ignorer les erreurs de sécurité !



                                                     16
17
M4- Injection Client

• Utilisation des fonctions de                 Impact
      navigateurs dans les applications
  •     Apps pure Web                     • Compromissio
  •     Apps hybrides                       n de l’appareil
• On retrouve les vulnérabilités          • Fraude à
      connues
  •     Injection XSS et HTML
                                            l’appel
  •     SQL Injection
                                          • Augmentation
• Des nouveautés interessantes              de privilèges
  •     Abus d’appels et de SMS

  •     Abus de paiements ?

                                                              18
M4 - Injection client

XSS




                              19
M4 - Injection client

XSS                   Acces aux SMS




                                      19
M4 - Prévention




                  20
M4 - Prévention


1. Valider les données d’entrée avant utilisation




                                                    20
M4 - Prévention


1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.




                                                     20
M4 - Prévention


1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.
3. Utilisation des requetes paramétrées pour les
   appels bases de données.




                                                     20
M4 - Prévention


1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.
3. Utilisation des requetes paramétrées pour les
   appels bases de données.
4. Minimiser les capacités/privilèges des
   applications hybrides Web.

                                                     20
M5- Authentification et habilitation
                  defaillante
• 50% du a des problèmes d’architecture,      Impact
   50% du à des problèmes du mobile
• Certaines applications se reposent       • Elevation de
   uniquement sur des éléments               Privileges
   théoriquement inchangeables, mais
   pouvant être compromis (IMEI, IMSI,
   UUID)
                                           • Accès non
                                             authorisé.
• Les identifiants matériels persistent
   apres les resets ou les nettoyages de
   données.
• De l’information contextuelle ajoutée,
   est utile, mais pas infaillible.
                                                            21
M5- Authentification et habilitation
           defaillante




                                       22
M5 - Prevention




                  23
M5 - Prevention

1. De l’information contextuelle peut améliorer
   les choses, mais uniquement en cas
   d’implementation d’authentification multi-
   facteur.




                                                  23
M5 - Prevention

1. De l’information contextuelle peut améliorer
   les choses, mais uniquement en cas
   d’implementation d’authentification multi-
   facteur.
2. Impossible de faire du “Out-of-band” sur le
   même matériel (eg SMS...)




                                                  23
M5 - Prevention

1. De l’information contextuelle peut améliorer
   les choses, mais uniquement en cas
   d’implementation d’authentification multi-
   facteur.
2. Impossible de faire du “Out-of-band” sur le
   même matériel (eg SMS...)
3. Ne jamais utiliser l’ID machine ou l’ID
   opérateur (subscriber ID), comme élément
   unique d’authentification.

                                                  23
24
M6 - Mauvaise gestion des sessions

• Les sessions applicatives mobiles sont            Impact
   générallement plus longue que sur une
   application normale.                         • Elévation de
  • Dans un but de facilité d’utilisation         privilèges.
• Le maintien de session applicative se fait    • Accès non
   via
                                                  authorisé.
  • HTTP cookies
  • OAuth tokens                                • Contournement
                                                  des licenses et
  • SSO authentication services                   des éléments de
• Très mauvaise idée d’utiliser l’ID matériel     paiements
   comme identification de session.
                                                                    25
M6- Prévention




                 26
M6- Prévention


1. Ne pas avoir peur de redemander aux utilisateurs de
   se ré-authentifier plus souvent.




                                                         26
M6- Prévention


1. Ne pas avoir peur de redemander aux utilisateurs de
   se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement être
   révoqués dan cas de perte de Ensure that tokens can
   be revoked quickly in the event of a lost/stolen device




                                                         26
M6- Prévention


1. Ne pas avoir peur de redemander aux utilisateurs de
   se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement être
   révoqués dan cas de perte de Ensure that tokens can
   be revoked quickly in the event of a lost/stolen device
3. Utilisation des outils de gestion des sessions éprouvés
   et surs


                                                         26
M7- Utilisation de données d’entrée pour
     effectuer des décisions sécurité.
• Peut être exploité pour passer       Impact
  outre les permission et les
  modèles de sécurité.             • Utilisation de
• Globalement similaires sur les     ressources
  différentes plateformes            payantes.
                                   • Exfiltration de
• Des vecteurs d’attaques            données
  importants
                                   • Elevation de
  • Applications malveillantes       privilèges.
  • Injection client
                                                       27
M7- Utilisation de données d’entrée pour effectuer
               des décisions sécurité.
Exemple : gestion de skype dans l’URL sur
IOS...




• http://software-security.sans.org/blog/2010/11/08/
 insecure-handling-url-schemes-apples-ios/
                                                       28
M7- Prévention




                 29
M7- Prévention


1. Vérifier les permissions lors de l’utilisations de
   données d’entrée.




                                                        29
M7- Prévention


1. Vérifier les permissions lors de l’utilisations de
   données d’entrée.
2. Demander à l’utilisateur une confirmation
   avant l’utilisation de fonctions sensibles.




                                                        29
M7- Prévention


1. Vérifier les permissions lors de l’utilisations de
   données d’entrée.
2. Demander à l’utilisateur une confirmation
   avant l’utilisation de fonctions sensibles.
3. Lorsqu’il n’est pas possible de vérifier les
   permissions, s’assurer via une étape
   additionnelle du lancement de la fonction
   sensible.

                                                        29
30
M8- Perte de données via des canaux
               cachés
• Mélange de fonctionnalités de la                   Impact
   plateforme et de failles de programmation.
• Les données sensibles se trouvent un peu       • Perte
   partout. ou l’on ne s’attend pas....
                                                   définitive de
  •   Web caches
                                                   données.
  •   Logs de clavier...
  •   Screenshots                                • Violation de la
  •   Logs (system, crash)                         vie privée.
  •   Répertoires temporaires.

• Faire attention a ce que font les librairies
   tierces avec les données
   utilisateurs( publicité, analyse, ...)
                                                                     31
M8- Perte de données via des canaux
 Screenshots  cachés




   Logging




                                      32
M8- Prévention




                 33
M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
   informations sensibles dans les logs.




                                                              33
M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
   informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
   utiliser les capacités des caches pour les contenu des
   applications Web, ...




                                                              33
M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
   informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
   utiliser les capacités des caches pour les contenu des
   applications Web, ...
3. Debugger avec attention les applications avant mise en
   production pour vérifier les fichiers produits, modifiés, lus, ....




                                                                         33
M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
   informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
   utiliser les capacités des caches pour les contenu des
   applications Web, ...
3. Debugger avec attention les applications avant mise en
   production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.




                                                                         33
M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
   informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
   utiliser les capacités des caches pour les contenu des
   applications Web, ...
3. Debugger avec attention les applications avant mise en
   production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.
5. Tester les applications sur différentes versions de la
   plateforme....



                                                                         33
34
M9- Chiffrement défectueux

• 2 catégories importantes                Impact
  • Implémentations defectueuses via
     l’utilisation de librairies de    • Perte de
     chiffrement.                        confidentialité.
  • Implementations personnelles de    • Elevation de
     chiffrement....
                                         privilèges
• Bien se rappeler les bases !!!
  • Codage (Base64) != chiffrement     • Contournemen
                                         t de la logique
  • Obfuscation != chiffrement
                                         métier.
  • Serialization != chiffrement
                                                           35
M9- Chiffrement défectueux

ldc literal_876:"QlVtT0JoVmY2N2E=”
invokestatic byte[] decode( java.lang.String ) // Base 64
invokespecial_lib java.lang.String.<init> // pc=2
astore 8

private final byte[]
com.picuploader.BizProcess.SendRequest.routine_12998
    (com.picuploader.BizProcess.SendRequest, byte[],
byte[] );
 {
   enter
   new_lib net.rim.device.api.crypto.TripleDESKey




                                                            36
M9- Prévention




                 37
M9- Prévention

1. Stocker la clef et les données chiffrées n’est
   pas correct.




                                                    37
M9- Prévention

1. Stocker la clef et les données chiffrées n’est
   pas correct.
2. Il vaut mieux utiliser des librairies connues de
   chiffrement que sa propre librairie....




                                                      37
M9- Prévention

1. Stocker la clef et les données chiffrées n’est
   pas correct.
2. Il vaut mieux utiliser des librairies connues de
   chiffrement que sa propre librairie....
3. Utiliser les avantages éventuels de la
   plateforme !




                                                      37
Dark side ?




              38
M10- Perte d’information sensible

• M10(enfoui dans le matériel) est              Impact
   différent de M1 (stocké)
• Il est très simple de faire du reverse-    • Perte
   engineer sur des applications mobiles..     d’authentifiants
• L’obfuscation de code ne supprime pas      • Exposition de
   le risque.
                                               propriété
• Quelques informations classiques             intellectuelle ?
   trouvées :
  • clefs d’API
  • Passwords
  • Logique métier sensible.
                                                                  39
M10- Perte d’information sensible




                                    40
M10- Prévention




                  41
M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
   Il ne faut pas les stocker sur le client.




                                                    41
M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
   Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
   convient de la faire executée par le serveur !




                                                      41
M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
   Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
   convient de la faire executée par le serveur !
3. Il n’y a jamais ou presque de réelle raison de
   stocker des mots de passes en dur (si vous le
   pensez, vous avez d’autres problèmes à
   venir...)


                                                      41
Conclusion
Conclusion




             43
Conclusion
• La sécurité mobile en est au début.




                                        43
Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
  il est nécessaire de les corriger !




                                                 43
Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
  il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
  applications le doivent aussi...




                                                 43
Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
  il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
  applications le doivent aussi...
• Ne pas oublier que la sécurité mobile
  comporte une partie application
  serveur !

                                                 43
Remerciements
          OWASP Mobile Project Leaders
Jack Mannino jack@nvisiumsecurity.com

  • http://twitter.com/jack_mannino

Zach Lanier zach.lanier@intrepidusgroup.com

  • http://twitter.com/quine

Mike Zusman mike.zusman@carvesystems.com

  • http://twitter.com/schmoilito



                                              44
Autres sessions liées
Web Security (Hampstead - 29/02 a 13h15)


Threat modeling d'une application: étude de cas (St-Pierre -
   29/02 à 14h30)


Sécurité et Ruby on Rails, une introduction (Fontaine F -
   01/03 à 16h)


Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 )


Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45)

                                                               45
Autres sessions liées
Web Security (Hampstead - 29/02 a 13h15)


Threat modeling d'une application: étude de cas (St-Pierre -
   29/02 à 14h30)


Sécurité et Ruby on Rails, une introduction (Fontaine F -
   01/03 à 16h)


Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 )


Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45)

                                                               45
Autres sessions liées
Web Security (Hampstead - 29/02 a 13h15)


Threat modeling d'une application: étude de cas (St-Pierre -
   29/02 à 14h30)


Sécurité et Ruby on Rails, une introduction (Fontaine F -
   01/03 à 16h)


Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 )


Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45)

                                                               45
Autres sessions liées
Web Security (Hampstead - 29/02 a 13h15)


Threat modeling d'une application: étude de cas (St-Pierre -
   29/02 à 14h30)


Sécurité et Ruby on Rails, une introduction (Fontaine F -
   01/03 à 16h)


Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 )


Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45)

                                                               45
Liens
•OWASP Mobile Project :
https://www.owasp.org/index.php/
   OWASP_Mobile_Security_Project
•HTML5 Sécurité :
http://www.slideshare.net/
   Eagle42/2011-0207html5securityv1
•OWASP Top10
https://www.owasp.org/index.php/
   Category:OWASP_Top_Ten_Project

                                      46
Vous pouvez donc vous
protéger de lui maintenant...


         @SPoint


         sebastien.gioria@owasp.org




                                      47
Vous pouvez donc vous
  protéger de lui maintenant...


              @SPoint


              sebastien.gioria@owasp.org


Il n'y a qu'une façon d'échouer, c'est d'abandonner avant
              d'avoir réussi [Olivier Lockert]
                                                            47

Contenu connexe

Tendances

Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidSaad Dardar
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
Bitdefender en France
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
Bee_Ware
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Owasp
OwaspOwasp
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Architecture android
Architecture androidArchitecture android
Architecture android
OCTO Technology
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
Sylvain Maret
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
Bee_Ware
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 

Tendances (20)

Etude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application AndroidEtude des aspects de sécurité Android & Audit d'une application Android
Etude des aspects de sécurité Android & Audit d'une application Android
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Owasp
OwaspOwasp
Owasp
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Architecture android
Architecture androidArchitecture android
Architecture android
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 

En vedette

Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
Bee_Ware
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
Abdeljalil AGNAOU
 
Securite sur les applis rencontres
Securite sur les applis rencontresSecurite sur les applis rencontres
Securite sur les applis rencontres
DatingProfessional
 
Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche
AGILLY
 
Conectores de oraciones
Conectores de oracionesConectores de oraciones
Conectores de oraciones
Carva
 
Eduhub E Portfolio 2
Eduhub E Portfolio 2Eduhub E Portfolio 2
Eduhub E Portfolio 2
Nadia Spang Bovey
 
Olimpiadas De Contabilidad
Olimpiadas De ContabilidadOlimpiadas De Contabilidad
Olimpiadas De Contabilidad
vanemontoherre
 
Padre Nuestro "al reves"
Padre Nuestro "al reves"Padre Nuestro "al reves"
Padre Nuestro "al reves"
alicia
 
Esprit de réforme de la Tunisie
Esprit de réforme de la TunisieEsprit de réforme de la Tunisie
Esprit de réforme de la Tunisie
kheireddinecercle
 
Outil Langma
Outil LangmaOutil Langma
Outil Langma
webreport
 
La veille de Né Kid du 04.08.2011 : les people actuels du web
La veille de Né Kid du 04.08.2011 : les people actuels du webLa veille de Né Kid du 04.08.2011 : les people actuels du web
La veille de Né Kid du 04.08.2011 : les people actuels du web
Né Kid
 
Trámites a solicitar a través del ayuntamiento digital (copia)
Trámites a solicitar a través del ayuntamiento digital  (copia)Trámites a solicitar a través del ayuntamiento digital  (copia)
Trámites a solicitar a través del ayuntamiento digital (copia)
Hilario Morales
 
Guia1-GRADO DECIMO - CUARTO PERIODO
Guia1-GRADO DECIMO - CUARTO PERIODOGuia1-GRADO DECIMO - CUARTO PERIODO
Guia1-GRADO DECIMO - CUARTO PERIODO
Ciuad de Asis
 
Presentacion manual de convivencia 2013 c
Presentacion manual de convivencia   2013 cPresentacion manual de convivencia   2013 c
Presentacion manual de convivencia 2013 c
Ciuad de Asis
 
Ciclo Contable
Ciclo ContableCiclo Contable
Ciclo Contable
vanemontoherre
 
Energias renovables
Energias renovablesEnergias renovables
Energias renovables
lauramiguelymariaguti
 
Daddy Yankee
Daddy YankeeDaddy Yankee
Daddy Yankee
Eduardo Cabrera
 

En vedette (20)

Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
 
Securite sur les applis rencontres
Securite sur les applis rencontresSecurite sur les applis rencontres
Securite sur les applis rencontres
 
Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche Android for Work Sécurité Mobile avancée dans la poche
Android for Work Sécurité Mobile avancée dans la poche
 
Conectores de oraciones
Conectores de oracionesConectores de oraciones
Conectores de oraciones
 
Eduhub E Portfolio 2
Eduhub E Portfolio 2Eduhub E Portfolio 2
Eduhub E Portfolio 2
 
Olimpiadas De Contabilidad
Olimpiadas De ContabilidadOlimpiadas De Contabilidad
Olimpiadas De Contabilidad
 
Padre Nuestro "al reves"
Padre Nuestro "al reves"Padre Nuestro "al reves"
Padre Nuestro "al reves"
 
Esprit de réforme de la Tunisie
Esprit de réforme de la TunisieEsprit de réforme de la Tunisie
Esprit de réforme de la Tunisie
 
Outil Langma
Outil LangmaOutil Langma
Outil Langma
 
La veille de Né Kid du 04.08.2011 : les people actuels du web
La veille de Né Kid du 04.08.2011 : les people actuels du webLa veille de Né Kid du 04.08.2011 : les people actuels du web
La veille de Né Kid du 04.08.2011 : les people actuels du web
 
Trámites a solicitar a través del ayuntamiento digital (copia)
Trámites a solicitar a través del ayuntamiento digital  (copia)Trámites a solicitar a través del ayuntamiento digital  (copia)
Trámites a solicitar a través del ayuntamiento digital (copia)
 
Pps N°1
Pps N°1Pps N°1
Pps N°1
 
Guia1-GRADO DECIMO - CUARTO PERIODO
Guia1-GRADO DECIMO - CUARTO PERIODOGuia1-GRADO DECIMO - CUARTO PERIODO
Guia1-GRADO DECIMO - CUARTO PERIODO
 
Presentacion manual de convivencia 2013 c
Presentacion manual de convivencia   2013 cPresentacion manual de convivencia   2013 c
Presentacion manual de convivencia 2013 c
 
Ciclo Contable
Ciclo ContableCiclo Contable
Ciclo Contable
 
Lunette
LunetteLunette
Lunette
 
Energias renovables
Energias renovablesEnergias renovables
Energias renovables
 
Daddy Yankee
Daddy YankeeDaddy Yankee
Daddy Yankee
 

Similaire à OWASP Mobile Top10 - Les 10 risques sur les mobiles

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Microsoft
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaCyber Security Alliance
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
Ilyass_rebla
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
Sophia conf securite microservices - 2017
Sophia conf   securite microservices - 2017Sophia conf   securite microservices - 2017
Sophia conf securite microservices - 2017
SecludIT
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
Exaprobe
 
SplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de France
Splunk
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Seclud it tendances-cloud
Seclud it tendances-cloudSeclud it tendances-cloud
Seclud it tendances-cloud
Sergio Loureiro
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
African Cyber Security Summit
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
NBS System
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
 

Similaire à OWASP Mobile Top10 - Les 10 risques sur les mobiles (20)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
Sophia conf securite microservices - 2017
Sophia conf   securite microservices - 2017Sophia conf   securite microservices - 2017
Sophia conf securite microservices - 2017
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
SplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de France
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Seclud it tendances-cloud
Seclud it tendances-cloudSeclud it tendances-cloud
Seclud it tendances-cloud
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
Sébastien GIORIA
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Sébastien GIORIA
 

Plus de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 

OWASP Mobile Top10 - Les 10 risques sur les mobiles

  • 1. The OWASP Foundation http://www.owasp.org Les 10 Risques sur les mobiles Sébastien Gioria OWASP France Leader OWASP Global Education Committee Confoo.ca 29 Février 2012 - Montréal - Canada Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
  • 2. http://www.google.fr/#q=sebastien gioria ‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) ‣Responsable du Groupe Sécurité des Applications Web au CLUSIF Twitter :@SPoint CISA && ISO 27005 Risk Manager ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms ‣ Expertise Technique - PenTesting, - Secure-SDLC - Gestion du risque, Architectures fonctionnelles, Audits - Consulting et Formation en Réseaux et Sécurité 2 2
  • 3. http://www.google.fr/#q=sebastien gioria ‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) ‣Responsable du Groupe Sécurité des Applications Web au CLUSIF Twitter :@SPoint CISA && ISO 27005 Risk Manager ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms ‣ Expertise Technique - PenTesting, - Secure-SDLC - Gestion du risque, Architectures fonctionnelles, Audits - Consulting et Formation en Réseaux et Sécurité 2 2
  • 5. Top 10 Risques • Vision multi-plateforme : • Android, IOS, Nokia, Windows, ... • Focus sur les risques plutôt que les vulnérabilités. • Utilisation de l’OWASP Risk Rating Methodology pour le classement • https://www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology 4
  • 6. Les 10 risques Risque M1 - Stockage de données non sécurisé M2 - Contrôles serveur défaillants M3 - Protection insuffisante lors du transport de données M4 - Injection client M5 - Authentification et habilitation defaillante M6 - Mauvaise gestion des sessions M7- Utilisation de données d’entrée pour effectuer des décisions sécurité. M8 - Perte de données via des canaux cachés M9 - Chiffrement défectueux M10 - Perte d’information sensible 5
  • 7. M1 - Stockage de données non sécurisé • Les données sensibles ne sont pas Impact protégées • Perte de • S’applique aux données locales, tout confidentialité sur comme celles disponibles dans le cloud les données • Généralement du à : • Divulgation • Défaut de chiffrement des données d’authentifiants • Cache de données qui ne sont par normalement prévue • Violation de vie • Permission globales ou faibles privée • Non suivi des bonnes pratiques de la • Non-compliance plateforme 6
  • 8. M1 - Stockage de données non sécurisé 7
  • 9. M1 - Stockage de données non sécurisé 7
  • 10. M1 - Stockage de données non sécurisé 7
  • 11. M1 - Stockage de données non sécurisé 7
  • 13. M1 - Prévention 1. Ne stocker que ce qui est réellement nécessaire 8
  • 14. M1 - Prévention 1. Ne stocker que ce qui est réellement nécessaire 2. Ne jamais stocker de données sur des éléments publiques (SD-Card...) 8
  • 15. M1 - Prévention 1. Ne stocker que ce qui est réellement nécessaire 2. Ne jamais stocker de données sur des éléments publiques (SD-Card...) 3. Utiliser les APIs de chiffrement et les conteneurs sécurisés fournis par la plateforme. 8
  • 16. M1 - Prévention 1. Ne stocker que ce qui est réellement nécessaire 2. Ne jamais stocker de données sur des éléments publiques (SD-Card...) 3. Utiliser les APIs de chiffrement et les conteneurs sécurisés fournis par la plateforme. 4. Ne pas donner des droits en “world writeable” ou “world readable” 8
  • 17. 9
  • 18. M2- Contrôles serveur défaillants • S’applique uniquement aux Impact services de backend. • Perte de • Non spécifique aux mobiles. confidentialité sur des • Il n’est pas plus facile de données faire confiance au client. • Il est nécessaire de revoir les • Perte d’intégrité sur contrôles actuels classiques. des données 10
  • 19. M2 - Contrôles serveur défaillants OWASP Top 10 OWASP Cloud Top 10 • https://www.owasp.org/index.php/ • https://www.owasp.org/images/4/47/Cloud- Category:OWASP_Top_Ten_Project Top10-Security-Risks.pdf 11
  • 21. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 12
  • 22. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 12
  • 23. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 3. OWASP Top 10, Cloud Top 10, Web Services Top 10 12
  • 24. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 3. OWASP Top 10, Cloud Top 10, Web Services Top 10 12
  • 25. M2- Prévention 1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes 3. OWASP Top 10, Cloud Top 10, Web Services Top 10 5. Voir les Cheat sheets, guides de développement, l’ESAPI 12
  • 26. 13
  • 27. M3 - Protection insuffisante lors du transport de données • Perte complète de Impact chiffrement des données • Attacks MITM transmises. • Modification • Faible chiffrement des des données données transmises. transmises • Fort chiffrement, mais oubli • Perte de des alertes sécurité confidentialité • Ignorer les erreurs de validation de certificats • Retour en mode non chiffré après erreurs 14
  • 28. M3 - Protection insuffisante lors du transport de données Exemple : Protocol d’authentification des clients Google • L’entete d’authenfication est envoyé sur HTTP • Lorsqu’un utilisateur se connecte via un WIFI, l’application automatiquement envoie le jeton dans le but de synchroniser les données depuis le serveur. • Il suffit d’écouter le réseau et de voler cet élément pour usurper l’identité • http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html 15
  • 30. M3 - Prévention 1. Vérifier que les données sensibles quittent l’appareil chiffrées. 16
  • 31. M3 - Prévention 1. Vérifier que les données sensibles quittent l’appareil chiffrées. 2. Quelque soit les données et les réseaux : Wifi, NFC, GSM, .... 16
  • 32. M3 - Prévention 1. Vérifier que les données sensibles quittent l’appareil chiffrées. 2. Quelque soit les données et les réseaux : Wifi, NFC, GSM, .... 3. Ne pas ignorer les erreurs de sécurité ! 16
  • 33. 17
  • 34. M4- Injection Client • Utilisation des fonctions de Impact navigateurs dans les applications • Apps pure Web • Compromissio • Apps hybrides n de l’appareil • On retrouve les vulnérabilités • Fraude à connues • Injection XSS et HTML l’appel • SQL Injection • Augmentation • Des nouveautés interessantes de privilèges • Abus d’appels et de SMS • Abus de paiements ? 18
  • 35. M4 - Injection client XSS 19
  • 36. M4 - Injection client XSS Acces aux SMS 19
  • 38. M4 - Prévention 1. Valider les données d’entrée avant utilisation 20
  • 39. M4 - Prévention 1. Valider les données d’entrée avant utilisation 2. Nettoyer les données en sortie avant affichage. 20
  • 40. M4 - Prévention 1. Valider les données d’entrée avant utilisation 2. Nettoyer les données en sortie avant affichage. 3. Utilisation des requetes paramétrées pour les appels bases de données. 20
  • 41. M4 - Prévention 1. Valider les données d’entrée avant utilisation 2. Nettoyer les données en sortie avant affichage. 3. Utilisation des requetes paramétrées pour les appels bases de données. 4. Minimiser les capacités/privilèges des applications hybrides Web. 20
  • 42. M5- Authentification et habilitation defaillante • 50% du a des problèmes d’architecture, Impact 50% du à des problèmes du mobile • Certaines applications se reposent • Elevation de uniquement sur des éléments Privileges théoriquement inchangeables, mais pouvant être compromis (IMEI, IMSI, UUID) • Accès non authorisé. • Les identifiants matériels persistent apres les resets ou les nettoyages de données. • De l’information contextuelle ajoutée, est utile, mais pas infaillible. 21
  • 43. M5- Authentification et habilitation defaillante 22
  • 45. M5 - Prevention 1. De l’information contextuelle peut améliorer les choses, mais uniquement en cas d’implementation d’authentification multi- facteur. 23
  • 46. M5 - Prevention 1. De l’information contextuelle peut améliorer les choses, mais uniquement en cas d’implementation d’authentification multi- facteur. 2. Impossible de faire du “Out-of-band” sur le même matériel (eg SMS...) 23
  • 47. M5 - Prevention 1. De l’information contextuelle peut améliorer les choses, mais uniquement en cas d’implementation d’authentification multi- facteur. 2. Impossible de faire du “Out-of-band” sur le même matériel (eg SMS...) 3. Ne jamais utiliser l’ID machine ou l’ID opérateur (subscriber ID), comme élément unique d’authentification. 23
  • 48. 24
  • 49. M6 - Mauvaise gestion des sessions • Les sessions applicatives mobiles sont Impact générallement plus longue que sur une application normale. • Elévation de • Dans un but de facilité d’utilisation privilèges. • Le maintien de session applicative se fait • Accès non via authorisé. • HTTP cookies • OAuth tokens • Contournement des licenses et • SSO authentication services des éléments de • Très mauvaise idée d’utiliser l’ID matériel paiements comme identification de session. 25
  • 51. M6- Prévention 1. Ne pas avoir peur de redemander aux utilisateurs de se ré-authentifier plus souvent. 26
  • 52. M6- Prévention 1. Ne pas avoir peur de redemander aux utilisateurs de se ré-authentifier plus souvent. 2. S’assurer que les ID/token peuvent rapidement être révoqués dan cas de perte de Ensure that tokens can be revoked quickly in the event of a lost/stolen device 26
  • 53. M6- Prévention 1. Ne pas avoir peur de redemander aux utilisateurs de se ré-authentifier plus souvent. 2. S’assurer que les ID/token peuvent rapidement être révoqués dan cas de perte de Ensure that tokens can be revoked quickly in the event of a lost/stolen device 3. Utilisation des outils de gestion des sessions éprouvés et surs 26
  • 54. M7- Utilisation de données d’entrée pour effectuer des décisions sécurité. • Peut être exploité pour passer Impact outre les permission et les modèles de sécurité. • Utilisation de • Globalement similaires sur les ressources différentes plateformes payantes. • Exfiltration de • Des vecteurs d’attaques données importants • Elevation de • Applications malveillantes privilèges. • Injection client 27
  • 55. M7- Utilisation de données d’entrée pour effectuer des décisions sécurité. Exemple : gestion de skype dans l’URL sur IOS... • http://software-security.sans.org/blog/2010/11/08/ insecure-handling-url-schemes-apples-ios/ 28
  • 57. M7- Prévention 1. Vérifier les permissions lors de l’utilisations de données d’entrée. 29
  • 58. M7- Prévention 1. Vérifier les permissions lors de l’utilisations de données d’entrée. 2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles. 29
  • 59. M7- Prévention 1. Vérifier les permissions lors de l’utilisations de données d’entrée. 2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles. 3. Lorsqu’il n’est pas possible de vérifier les permissions, s’assurer via une étape additionnelle du lancement de la fonction sensible. 29
  • 60. 30
  • 61. M8- Perte de données via des canaux cachés • Mélange de fonctionnalités de la Impact plateforme et de failles de programmation. • Les données sensibles se trouvent un peu • Perte partout. ou l’on ne s’attend pas.... définitive de • Web caches données. • Logs de clavier... • Screenshots • Violation de la • Logs (system, crash) vie privée. • Répertoires temporaires. • Faire attention a ce que font les librairies tierces avec les données utilisateurs( publicité, analyse, ...) 31
  • 62. M8- Perte de données via des canaux Screenshots cachés Logging 32
  • 64. M8- Prévention 1. Ne jamais stocker des authentifiants/passwds ou d’autres informations sensibles dans les logs. 33
  • 65. M8- Prévention 1. Ne jamais stocker des authentifiants/passwds ou d’autres informations sensibles dans les logs. 2. Supprimer les données sensibles avant les screenshots, utiliser les capacités des caches pour les contenu des applications Web, ... 33
  • 66. M8- Prévention 1. Ne jamais stocker des authentifiants/passwds ou d’autres informations sensibles dans les logs. 2. Supprimer les données sensibles avant les screenshots, utiliser les capacités des caches pour les contenu des applications Web, ... 3. Debugger avec attention les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, .... 33
  • 67. M8- Prévention 1. Ne jamais stocker des authentifiants/passwds ou d’autres informations sensibles dans les logs. 2. Supprimer les données sensibles avant les screenshots, utiliser les capacités des caches pour les contenu des applications Web, ... 3. Debugger avec attention les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, .... 4. Porter une attention particulière aux librairies tierces. 33
  • 68. M8- Prévention 1. Ne jamais stocker des authentifiants/passwds ou d’autres informations sensibles dans les logs. 2. Supprimer les données sensibles avant les screenshots, utiliser les capacités des caches pour les contenu des applications Web, ... 3. Debugger avec attention les applications avant mise en production pour vérifier les fichiers produits, modifiés, lus, .... 4. Porter une attention particulière aux librairies tierces. 5. Tester les applications sur différentes versions de la plateforme.... 33
  • 69. 34
  • 70. M9- Chiffrement défectueux • 2 catégories importantes Impact • Implémentations defectueuses via l’utilisation de librairies de • Perte de chiffrement. confidentialité. • Implementations personnelles de • Elevation de chiffrement.... privilèges • Bien se rappeler les bases !!! • Codage (Base64) != chiffrement • Contournemen t de la logique • Obfuscation != chiffrement métier. • Serialization != chiffrement 35
  • 71. M9- Chiffrement défectueux ldc literal_876:"QlVtT0JoVmY2N2E=” invokestatic byte[] decode( java.lang.String ) // Base 64 invokespecial_lib java.lang.String.<init> // pc=2 astore 8 private final byte[] com.picuploader.BizProcess.SendRequest.routine_12998 (com.picuploader.BizProcess.SendRequest, byte[], byte[] ); { enter new_lib net.rim.device.api.crypto.TripleDESKey 36
  • 73. M9- Prévention 1. Stocker la clef et les données chiffrées n’est pas correct. 37
  • 74. M9- Prévention 1. Stocker la clef et les données chiffrées n’est pas correct. 2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie.... 37
  • 75. M9- Prévention 1. Stocker la clef et les données chiffrées n’est pas correct. 2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie.... 3. Utiliser les avantages éventuels de la plateforme ! 37
  • 77. M10- Perte d’information sensible • M10(enfoui dans le matériel) est Impact différent de M1 (stocké) • Il est très simple de faire du reverse- • Perte engineer sur des applications mobiles.. d’authentifiants • L’obfuscation de code ne supprime pas • Exposition de le risque. propriété • Quelques informations classiques intellectuelle ? trouvées : • clefs d’API • Passwords • Logique métier sensible. 39
  • 80. M10- Prévention 1. Les clefs d’API privées portent bien leur nom. Il ne faut pas les stocker sur le client. 41
  • 81. M10- Prévention 1. Les clefs d’API privées portent bien leur nom. Il ne faut pas les stocker sur le client. 2. Si il existe une logique métier propriétaire, il convient de la faire executée par le serveur ! 41
  • 82. M10- Prévention 1. Les clefs d’API privées portent bien leur nom. Il ne faut pas les stocker sur le client. 2. Si il existe une logique métier propriétaire, il convient de la faire executée par le serveur ! 3. Il n’y a jamais ou presque de réelle raison de stocker des mots de passes en dur (si vous le pensez, vous avez d’autres problèmes à venir...) 41
  • 85. Conclusion • La sécurité mobile en est au début. 43
  • 86. Conclusion • La sécurité mobile en est au début. • Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger ! 43
  • 87. Conclusion • La sécurité mobile en est au début. • Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger ! • Les plateformes deviennent plus matures, les applications le doivent aussi... 43
  • 88. Conclusion • La sécurité mobile en est au début. • Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger ! • Les plateformes deviennent plus matures, les applications le doivent aussi... • Ne pas oublier que la sécurité mobile comporte une partie application serveur ! 43
  • 89. Remerciements OWASP Mobile Project Leaders Jack Mannino jack@nvisiumsecurity.com • http://twitter.com/jack_mannino Zach Lanier zach.lanier@intrepidusgroup.com • http://twitter.com/quine Mike Zusman mike.zusman@carvesystems.com • http://twitter.com/schmoilito 44
  • 90. Autres sessions liées Web Security (Hampstead - 29/02 a 13h15) Threat modeling d'une application: étude de cas (St-Pierre - 29/02 à 14h30) Sécurité et Ruby on Rails, une introduction (Fontaine F - 01/03 à 16h) Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 ) Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45) 45
  • 91. Autres sessions liées Web Security (Hampstead - 29/02 a 13h15) Threat modeling d'une application: étude de cas (St-Pierre - 29/02 à 14h30) Sécurité et Ruby on Rails, une introduction (Fontaine F - 01/03 à 16h) Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 ) Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45) 45
  • 92. Autres sessions liées Web Security (Hampstead - 29/02 a 13h15) Threat modeling d'une application: étude de cas (St-Pierre - 29/02 à 14h30) Sécurité et Ruby on Rails, une introduction (Fontaine F - 01/03 à 16h) Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 ) Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45) 45
  • 93. Autres sessions liées Web Security (Hampstead - 29/02 a 13h15) Threat modeling d'une application: étude de cas (St-Pierre - 29/02 à 14h30) Sécurité et Ruby on Rails, une introduction (Fontaine F - 01/03 à 16h) Beware of the dark side, Luke! (Hampstead - 02/03 à 8h30 ) Trouvez la faille! (Côte-St-Luc - 2/03 à 14h45) 45
  • 94. Liens •OWASP Mobile Project : https://www.owasp.org/index.php/ OWASP_Mobile_Security_Project •HTML5 Sécurité : http://www.slideshare.net/ Eagle42/2011-0207html5securityv1 •OWASP Top10 https://www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project 46
  • 95. Vous pouvez donc vous protéger de lui maintenant... @SPoint sebastien.gioria@owasp.org 47
  • 96. Vous pouvez donc vous protéger de lui maintenant... @SPoint sebastien.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] 47

Notes de l'éditeur

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. http://developer.android.com/reference/android/content/Context.html\n\npublic abstract SharedPreferences getSharedPreferences (String name, int mode)\nSince: API Level 1\nRetrieve and hold the contents of the preferences file &apos;name&apos;, returning a SharedPreferences through which you can retrieve and modify its values. Only one instance of the SharedPreferences object is returned to any callers for the same name, meaning they will see each other&apos;s edits as soon as they are made.\n\nint\nMODE_WORLD_READABLE\nFile creation mode: allow all other applications to have read access to the created file.\n\n
  8. http://developer.android.com/reference/android/content/Context.html\n\npublic abstract SharedPreferences getSharedPreferences (String name, int mode)\nSince: API Level 1\nRetrieve and hold the contents of the preferences file &apos;name&apos;, returning a SharedPreferences through which you can retrieve and modify its values. Only one instance of the SharedPreferences object is returned to any callers for the same name, meaning they will see each other&apos;s edits as soon as they are made.\n\nint\nMODE_WORLD_READABLE\nFile creation mode: allow all other applications to have read access to the created file.\n\n
  9. http://developer.android.com/reference/android/content/Context.html\n\npublic abstract SharedPreferences getSharedPreferences (String name, int mode)\nSince: API Level 1\nRetrieve and hold the contents of the preferences file &apos;name&apos;, returning a SharedPreferences through which you can retrieve and modify its values. Only one instance of the SharedPreferences object is returned to any callers for the same name, meaning they will see each other&apos;s edits as soon as they are made.\n\nint\nMODE_WORLD_READABLE\nFile creation mode: allow all other applications to have read access to the created file.\n\n
  10. http://developer.android.com/reference/android/content/Context.html\n\npublic abstract SharedPreferences getSharedPreferences (String name, int mode)\nSince: API Level 1\nRetrieve and hold the contents of the preferences file &apos;name&apos;, returning a SharedPreferences through which you can retrieve and modify its values. Only one instance of the SharedPreferences object is returned to any callers for the same name, meaning they will see each other&apos;s edits as soon as they are made.\n\nint\nMODE_WORLD_READABLE\nFile creation mode: allow all other applications to have read access to the created file.\n\n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n
  17. \n
  18. \n
  19. \n
  20. \n
  21. \n
  22. \n
  23. \n
  24. \n
  25. \n
  26. \n
  27. \n
  28. \n
  29. \n
  30. \n
  31. \n
  32. \n
  33. \n
  34. \n
  35. \n
  36. \n
  37. \n
  38. \n
  39. \n
  40. \n
  41. \n
  42. \n
  43. \n
  44. \n
  45. \n
  46. \n
  47. \n
  48. \n
  49. \n
  50. \n
  51. \n
  52. \n
  53. \n
  54. \n
  55. \n
  56. \n
  57. \n
  58. \n
  59. \n
  60. \n
  61. \n
  62. \n
  63. \n
  64. \n
  65. \n
  66. \n
  67. \n
  68. \n
  69. \n
  70. \n
  71. \n
  72. \n
  73. \n
  74. \n
  75. \n
  76. \n
  77. \n
  78. \n
  79. \n
  80. \n
  81. \n
  82. \n