DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter
de façon drastique. Un article de Sylvain Maret
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter
de façon drastique. Un article de Sylvain Maret
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
Salon IoT World 2018
L'IoT c'est aujourd'hui des millions d’objets connectés pour autant de nouveaux cas d’usage.
Wavestone vous propose une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité.
Dans cette présentation, une attention particulière est donnée à l'identité des objets connectés et à l'IAM of Things (#IAMoT).
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise.
Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
Salon IoT World 2018
L'IoT c'est aujourd'hui des millions d’objets connectés pour autant de nouveaux cas d’usage.
Wavestone vous propose une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité.
Dans cette présentation, une attention particulière est donnée à l'identité des objets connectés et à l'IAM of Things (#IAMoT).
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise.
Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
Lors d’un projet amenant à la certification PCI--DSS, comment comprendre les exigences de la norme et comment les traduire en action concrete sur le terrain, afin de démontrer à l’auditeur que le SDLC est maîtrisé.
Des mesures techniques sont exigées, mais une grande importance est donnée à la maîtrise du processus de développement.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Switzerland)
Speaker: Christophe Nemeth
Les francais et la protection des données personnellesBee_Ware
Cette enquête de l’institut CSA fournit un état des lieux des préoccupations liées à la protection des données personnelles en France. Réalisée auprès de plus de 1000 personnes, cette étude met en évidence la prise de conscience des français face aux risques d’usurpation d’identité ou de vol de données sensibles.
Les 10 principales menaces de sécurité des bases de donnéesImperva
L'infrastructure de la base de données d'une entreprise est sujette à un grand
nombre de menaces. Ce document vise à aider les entreprises à mieux appréhender
les menaces les plus critiques. Ce document fournit une liste des 10 principales
menaces, identifiées par notre centre d’experts. Pour chacune de ces menaces, ce
document décrit les informations de base, les principales stratégies de limitation des
risques, ainsi que le dispositif de protection de la base de données fournies par la
solution Imperva.
Radware provides a hybrid web application protection solution including an on-premise WAF appliance and cloud-based WAF service. The solution offers complete coverage of the OWASP Top 10 vulnerabilities through negative and positive security models. Radware's WAF requires minimal manual configuration and provides automatic policy generation for fast time to protection against both known and unknown attacks. The cloud-based WAF service provides always-on DDoS and behavioral protection along with a fully managed web application security solution.
Guide Pratique Isolation Logement par ADEMETravauxlib
Pour réduire les dépenses d’énergie et améliorer le confort
d’un logement existant lors de travaux de rénovation, suivez ce guide.
Cela explique toutes les isolations (intérieure-extérieure) pour votre logement dans un vocabulaire pédagogique accessible à tous.
Pour plus d'informations, contactez nos Travaux Planneurs sur www.travauxlib.com
Este documento proporciona un tutorial en 8 pasos para que los estudiantes usen la aplicación Socrative para completar actividades sobre un texto. La aplicación permite a los estudiantes ingresar con su nombre para completar preguntas de forma anónima y recibir retroalimentación, mejorando así su comprensión de lectura.
PHP jouit parfois d'une mauvaise réputation au niveau des performances. Nous verrons si cette réputation est méritée, si les performances sont réellement un problème pour utiliser PHP.
PHP a une architecture qui lui permet de monter en charge sans mettre en place des solutions complexes. Entre l'installation, la configuration et les possibilités au niveau applicatif, cette session vous permettra de répondre efficacement à la problématique des performances.
La reunión TUNING de México en febrero de 2007 discutió la implementación de competencias genéricas en el Programa de Formación General de la Universidad de Chile. La Universidad de Chile ha realizado una reforma de pregrado desde 1999 hasta 2010 que incluyó definir un perfil de egresado con competencias, perfiles de niveles, una metodología de integración docente y evaluación de competencias, y capacitación y socialización. El documento también describe el sistema de créditos SCT-Chile y la estructura del pregrado de la universidad.
El documento resume un sermón sobre Efesios 5:18-21 del predicador D.M. Lloyd-Jones. Explica que Pablo usa la analogía de la embriaguez para contrastar la vida vieja con la nueva vida en el Espíritu. La vida vieja se caracterizaba por la embriaguez y disolución, mientras que la nueva vida está llena del Espíritu Santo. Pablo quiere enfatizar tanto las diferencias como las similitudes entre los estados para dar una visión completa de la vida cristiana.
Stéphane Castagné, Barracuda Networks, explique en quelles sortes les solutions Barracuda permettent une protection opitmale contre les menaces visant le courrier électronique, les connexions Internet et les messageries électronique notamment, tout en conservant la protection des données.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Matthieu Bouilloux - NodeJS dans Azure - - Global Azure Bootcamp 2016 ParisAZUG FR
Comparaison – avantages et inconvénients - de backends NodeJS en PAAS et IAAS Azure. Exemple d'un backend qui exploite les avantages de chaque infrastructure.
Alphorm.com Formation Pentesting avec MetasploitAlphorm
Cette mini formation « Pentesting avec Metasploit » englobe l’exploitation de Metasploit dans un contexte de pentesting au niveau d’un lab complet.
Cette formation Pentesting avec Metasploit vise à vous donner la capacité d’effectuer des tests d’intrusion en exploitant en profondeur framework extrêmement puissant.
A la suite de cette formation pentesting avec Metasploit , , vous serez capable de bien comprendre les différents composants de Metasploit, pouvoir effectuer des tests de pénétration complets en exploitant la puissance de ce Framework dernière centralisé
Damien Seguy, co-auteur du livre "Sécurité PHP" (éditions Eyrolles) et membre du PHPGroup. L’atelier consiste à examiner une vraie application PHP présentée puis de tenter toutes les manœuvres retorses possibles pour la mettre en péril.
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
The document discusses OWASP (Open Web Application Security Project) and its mission to secure applications. It introduces the OWASP IoT Top 10 risks, which identifies the most critical security risks in Internet of Things environments. The top risks include insecure web interfaces, authentication and authorization issues, lack of transport encryption, and privacy concerns. The presentation provides an overview of each risk and recommends solutions and tools to help address the vulnerabilities.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
This document summarizes a presentation given by Sébastien Gioria on application security. The presentation provided an overview of the current state of application security, described the Open Web Application Security Project (OWASP) including its mission and resources, and highlighted several OWASP projects that developers can use to help secure applications. It also listed upcoming security events in France and ways to support OWASP.
This document provides an introduction to secure coding for Java applications presented by Sebastien Gioria to the Java User Group in Poitou-Charentes, France. The presentation covers the importance of application security, current state and goals, using OWASP materials to secure code, and secure coding principles. It highlights statistics on application vulnerabilities from Verizon and WhiteHat Security reports and addresses common misconceptions about application security.
The document provides an overview of OWASP (Open Web Application Security Project) and application security. It discusses that most websites are vulnerable to attacks given the digital environment we live in. It then introduces OWASP as a non-profit focused on application security that produces many free, open resources like the OWASP Top 10 list of risks and over 200 projects. The presentation highlights some of OWASP's major projects and resources and emphasizes that application security is important as the "Age of Application Security".
The document discusses a training day presentation on integrating security and privacy in web application projects given by Sebastien Gioria. It covers using OWASP materials to secure code, secure coding principles, and code reviews. It also provides information on OWASP publications that can be used like the Top 10, Building Security In, and Code Review Guide.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
27. % Attaques % Dépenses 75 % 10 % 90 % 25 % Etude du SANS (septembre 2009) http://www.sans.org/top-cyber-security-risks/ Faiblesse des Applications Web Application Web Eléments Réseaux Etude du GARTNER 2003 75% des attaques ciblent le niveau Applicatif 66% des applications web sont vulnérables "La veille d’un incident, le retour sur investissement d’un système de sécurité est nul. Le lendemain, il est infini." Dennis Hoffman, RSA
35. Intégré au Code/a l’applicatif Disponible dans l’OWASP ESAPI Uniquement ! Se base sur des règles configurables à la volée Proche du code, et peut donc gérer les entrées + sorties.
37. Agenda L’OWASP Web Application Firewalls (WAF) Choisir son WAF WAF Mythes et réalités WAF mode d’emploi S’amuser avec son WAF Et après ?
38. Réalités du WAF Patcher virtuellement les problèmes Plus ou moins efficace suivant la méthode employée (positive, négative) Cacher tout ou partie de l’infrastructure En mode reverse proxy Analyseur de trafic HTTP/HTTPS/XML puissant Grace à ses fonctions de normalisation et son reporting
39. Mythes du WAF C’est un nouvel élément d’infrastructure Couts supplémentaires, à intégrer en PCA, … Compétence supplémentaire… Source de problèmes récurrents : Modèle positif : à chaque modification de l’applicatif Modèle négatif : dépendant des mises a jours. Complexifie le debug Ce n’est pas la solution! Il « laisse » passer des failles (Session Hijacking, élévation de privilèges, HTTP responsesplitting, …) Il n’est pas (encore) obligatoire en PCI-DSS !
40. Agenda L’OWASP Web Application Firewalls (WAF) Choisir son WAF WAF Mythes et réalités WAF mode d’emploi S’amuser avec son WAF Et après ?
41. WAF – En ai-je besoin ? Boite Noire Elevé Majoritairement développé en externe, peu de sources disponibles Bénéfice d’un WAF Majoritairement développé en interne, disponibilité des sources Moyen Accès total aux sources, et aux développeurs Faible Aucun Total Partiel Accès aux sources de l’application
42. Web Application Firewall Evaluation Criteria (WAFEC) Projet du Web Application Security Consortium http://www.webappsec.org/projects/wafec/ Liste les fonctionnalités possibles d’un WAF et non les fonctions minimum nécessaires d’un WAF Permet d’évaluer techniquement le meilleur WAF pour son environnement en fonction de 9 critères : Type d’architecture à déployer (pont, reverse-proxy, intégré, SSL, …) Support d’HTTP et d’HTML (Versions, encodages,…) Techniques de détection (signatures, techniques de normalisation du trafic, …) Techniques de protection (brute force, cookies, sessions, …) Journalisation (intégration NSM, type de logs, gestion des données sensibles, …) Rapports (types de rapports, distribution, format, …) Administration (politiques, logs, …) Performance (nb de connexions/s, latences, …) Support XML (WS-i intégration, validation XML/RPC, …)
43. WAF – Mise en place Choisir le type (centralisé, décentralisé, performances, …) => Projet WAFEC Mettre en place l’organisation Désigner (au minimum) un « WAF operation manager » en lien avec les équipes infrastructures et développement. Rôle technico-MOA Mettre en place la protection minimale XSS, Blind-SQLi, … Définir les priorités des applications à protéger Itérer Traçage des requêtes Mise en place de la protection Contrôle de l’effectivité de la protection.
46. Agenda L’OWASP Web Application Firewalls (WAF) Choisir son WAF WAF Mythes et réalités WAF mode d’emploi S’amuser avec son WAF Et après ?
47. Détection des WAFs Certains WAFs laissent beaucoup d’informations sur leur présence : Cookies : barra_counter_session, NCI__SessionId, WODSESSION Headers Server=profense Server=BinarySec Réponses a des attaques (trigger de blacklist) dans les headers HTTP/1.1 200 Condition Intercepted HTTP/1.1 200 Forbidden HTTP/1.1. 407 Proxy AuthenticationRequired Ou les pages par défaut !!! <h1>System error!<hr></h1> <title>Action not authorized!</title> ……
48. Détection des WAFs Wafw00f présenté à l’AppSec EU 2009. Script python se basant sur une base de détection interne. Waffun présenté à l’AppSec EU 2009 Script python de fuzzing pour construire une liste de bypass du WAF.
50. Bypass des WAFs Un WAFs sera toujours bypassé s’il n’implémente pas le modèle positif. Toute tentative de : Blacklist Règle de type regular-expression Réseau neuronal Sera inefficace!
51.
52. Bypass des WAFs Et l’on ne parle par du reste (SQL-i, HPP, …) Prenons la chaine a 130 millions OR 1==1 ID=1%20OR%201==1 ID=1%20OR%200x01==0x01 ID=1%20OR%2042==42 ID=1&ID=%20OR%20&ID=1&ID=%3&ID=d&ID=%3&ID=d&1 Tout ceci est valide et équivalent
53. Bypass des WAFs – le coup de la pollution des paramètres ncat--sslwww.wafforwimps.org 443 GET /test.aspx?val=<script>alert(Falken);</script> HTTP/1.0 HTTP/1.1 407 Proxy AuthenticationRequired Date: Thu, 03 Sep 2009 3:47:19 GMT Server: IIS Last-Modified: Mon, 28 Jul 2008 14:45:31 GMT Accept-Ranges: bytes Content-Type: text/html Via: 1.1 www.wafforwimps.org X-Cache: MISS fromwww.wafforwimps.org Connection: close <html> <head><title>System error!</title></head> <body bgcolor=#FFFFFF> <h1>System error!<hr></h1> <p> Error #<b>3</b>...
54. Bypass des WAFs – le coup de la pollution des paramètres ncat--sslwww.wafforwimps.org 443 GET /test.aspx?val=<&val=script&val=>&val=alert&val=(&val=Fal&val=K&val=en&val=) &val=; &val=<&val=/&val=script&val=> HTTP/1.0 HTTP/1.1 200 Ok Date: Thu, 03 Sep 2009 4:47:19 GMT Server: IIS Last-Modified: Mon, 28 Jul 2008 14:45:31 GMT Accept-Ranges: bytes Content-Type: text/html Via: 1.1 www.wafforwimps.org X-Cache: MISS fromwww.wafforwimps.org Connection: close <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr"> <head> <metahttp-equiv="Content-Type" content="text/html; charset=UTF-8" /> <metaname="ROBOTS" content="INDEX, FOLLOW" /> </head> <body > Hello Professor <script>alert(XSS);</script>, Wouldyouplay a game? </body>
56. 1ere étape : le choix 2 options (via PCI-DSS 6.6, car il est bien connu que toute société qui vend sur internet se doit d’être conforme….) : Déployer un WAF + Scan automatisés Mettre en place un code review sécurité + SDLC Solution choisie : déployer un WAF(redondé) + Scans en mode ASP récurrent (1 par mois au minimum) => Magic quadrant + idée des conseils en régie + promo de Noël…
57. 2ème étape : la vie du produit Résultats des scans réguliers : Tout est vert (forcément il y a un WAF qui voit arriver avec ses gros sabots le robot….) Configuration du WAF : Configuration faite par l’ingénieur en charge des Firewalls (normal, c’est un Web Application FIREWALL !) Remontée des logs dans un fichier (non analysés, car trop d’alertes) Règles parfois permissibles car des outils (type CMS plus ou moins propriétaires génèrent des requêtes bloquées)
58. L’attaque Un lutin malveillant lance une DOS (type slowloris) à destination du WAF en mode fail-open. Pendant ce temps, le lutin malveillant découvre une injection SQL basique (très très basique => type ‘OR 1==1). les bases sont téléchargées par le lutin malveillant. Le lutin revend tout ou partie de la base au meilleur offreur. Le lutin peut continuer à boire ses Guinness.
59.
60. Le bénéfice +100% de bénéfice(financier) pour le vendeur du PC de la webcam de la machine a caféWAF +100% de bénéfice(financier) pour le vendeur du scanner tout va bien quand je remets le rapport au DSIASP -424,2%(au minimum) pour l’entreprise : Perte d’image de marque Perte de l’agrément PCI-DSS (amendes ?) Pentests manuels en urgence Formation des développeurs en urgence Revue de code en urgence
61. Agenda L’OWASP Web Application Firewalls (WAF) Choisir son WAF WAF Mythes et réalités WAF mode d’emploi S’amuser avec son WAF Et après ?
62. Pas de recette Miracle Mettre en place un cycle de développementsécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens.