SlideShare une entreprise Scribd logo

Comprendre la securite web

Christophe Villeneuve
Christophe Villeneuve

Présentation effectuée au Rencontres Mondiales du Logiciel Libre (RMLL) 2017 par Christophe Villeneuve sur "Comprendre la securite web". Vous allez voir pourquoi la sécurité ne doit pas être pris à la légère. Mais heureusement des solutions existes

Internet
1  sur  50
Télécharger pour lire hors ligne
Comprendre la sécurité web Christophe Villeneuve @hellosct1
Qui ??? Christophe Villeneuve mozilla reps - firefox os - B2GOS - ausy - afup – lemug.fr – mysql – mariadb – drupal – demoscene – firefoxos – drupagora – phptour – forumphp – solutionlinux – Libre@toi – eyrolles – editions eni – programmez – linux pratique – webriver – phptv – elephpant - owasp -security
RMLL 2017 – 4 Juillet 2017 Alors… La sécurité La sécurité... c'est pour les autres Les attaques !!! ah ah ah.. je rigole
RMLL 2017 – 4 Juillet 2017 Humour : La sécurité... Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
Les menaces
RMLL 2017 – 4 Juillet 2017 La première menace ● La navigation sur internet ● Le téléchargement ● Vos identifiants ● Vos courriels (emails) ● Etc... C'est vous
RMLL 2017 – 4 Juillet 2017 Les risques ● Ne connaissent pas – L'étendue des risques liés à la sécurité de leur site ● Significations du terme « piratage » ● Des sites listent les failles, alertes… ● Et surtout : – Vol d'informations – Usurpation d'identité – Indisponibilité de service – Défiguration de site – Désinformation
RMLL 2017 – 4 Juillet 2017 Site 'alerte' de vulnérabilités (1/2) ● CVE – Commun Vulnerabilites and Exposures ● Dictionnaire des informations publiques relavites – Aux vulnérabilités de sécurité ● Base de données des Vulnérabilités (source d'informations) ● Concerne – CMS / Framework – OS – Navigateurs – Logiciels – ...
RMLL 2017 – 4 Juillet 2017 Site 'alerte' de vulnérabilités (2/2) (C) https://www.cvedetails.com/browse-by-date.php
RMLL 2017 – 4 Juillet 2017 Les vulnérabilités reconnues ● Insuffisance des tests de sécurité ● Configuration par défaut ● Pas de cryptage des données sensibles ● Pas de mises à jour du système ● La sécurité apparaît lors des catastrophes ● Surveillance inefficace ● Contrôle insuffisant de l'accès par des tiers
RMLL 2017 – 4 Juillet 2017 Les différents types d'attaques ● Matériels ● Périphériques ● Smartphones ● Internet des Objets ● Le web● Logiciels
RMLL 2017 – 4 Juillet 2017 Les points faibles… les bases applicatives
RMLL 2017 – 4 Juillet 2017 Les vulnérabilités Web : Le symbole (1/2) <
RMLL 2017 – 4 Juillet 2017 Les vulnérabilités Web : Le symbole (2/2) &lt ;
RMLL 2017 – 4 Juillet 2017 Correspondance des caractères dangereux Caractères Decimal Hexadecimal HTML Character Set Unicode ''  (double quote) &#34; &#x22; &quot; u0022 ' (simple quote) &#39; &#x27; &apos: u0027 & (ampersand) &#38; &#x26; &amp; u0026 < (inférieur) &#60; &#x3C; &lt; u003c > (supérieur) &#62; &#x3E; &gt; u003e
RMLL 2017 – 4 Juillet 2017 Oui mais pas que çà.
RMLL 2017 – 4 Juillet 2017 STEGANOGRAPHIE L'art de cacher les choses à la vue de tous Trouver la courbe la plus longue dans l'image Q
RMLL 2017 – 4 Juillet 2017 Code sécurisé ✔ Défense en profondeur ✔ Limité les accès de données à l'extérieur ✔ Maximiser les droits 3 points à connaître
RMLL 2017 – 4 Juillet 2017 Mais... Quoi affiché !!! ✔ Erreur 404 ✔ Erreur 500 ✔ Fichier Log Un minimum d'informations lors d'un crash
RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 1 / 3 ✔ Mettre une bonne stratégie de mot de passe ✔ Jpassword – Keepass... ✔ Ne pas le stocker en clair ✔ Pensez au captcha ou au jeton ✔ Force le mode SSL / TLS ✔ Limité le délais pour modifier son profil utilisateur ✔ Identification session ✔ Authentification coté serveur ✔ Pas d'authentification en JS / Ajax Le contrôle : Authentification
RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 2 / 3 ✔ Gestion des sessions aléatoire (JSESSIONID / $_SESSION) ✔ Minimum d'informations visibles (ex URL) ✔ Eviter les données sensibles sur le réseau (VS scanner de réseau) ✔ Cookie sécurisé (onglets des navigateurs) ✔ Limiter la fin de session pour les projets sensibles (ex 5 minutes) ✔ Bloquer les doubles logins / accès ✔ 1 Authentification = 1 utilisateur = 1 connexion BDD → Pour l'Open Source Le contrôle des accès
RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 3 / 3 ✔ Contrôler le cache ✔ Penser à vider le cache ✔ Fermer fenêtre ✔ Fermer Navigateur ✔ Fermer Application Logique de code... Pas sûr
RMLL 2017 – 4 Juillet 2017 Les autres solutions
RMLL 2017 – 4 Juillet 2017 OWASP ● OWASP : Open Web Application Security Project ● Communauté pour la sécurité des applications Webs ● Publications : TOP 10 / Cheat sheets / Owasp : secure Contrat ● Outils : Owasp Zed attack Proxy / ESAPI : API for / AppSensor :: a IDS / IPS ● Jeux : Owasp Cornucopia / Owasp Snake
RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (web) 1/3 ✔ Failles d'injection ✔ Cross-Site Scripting (XSS) ✔ Violation d'authentification et de Session ✔ Référence directe non sécurisée à un objet ✔ Falsification de requête (CSRF) ✔ Mauvaise configuration de sécurité ✔ Stockage cryptographique non sécurisé ✔ Manque de restriction d'accès URL ✔ Communications non sécurisées ✔ Redirections non validées ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées 2010 X ✔ Fuite d'information et Traitement d'erreur Incorrect ✔ Exécution de Fichier Malicieux N X N 2013 ✔ Communications non sécuriséesX N Z Z N Z XHausse Baisse Identique NouveauBaisse SortieRenommé
RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (web) 2/3 ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Contrôle d'accès cassé (catégorie 2004) ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Protection d'attaque insuffisante ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ API sous-protégées 2013 2017 rc 1 ✔ Redirections non validéesX N Z XHausse Baisse Identique NouveauBaisse SortieRenommé ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées ✔ Communications non sécuriséesX N Z Z N N
RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (3/3) ● 1. Verify for Security Early and Often Vérifier la sécurité tôt et souvent ● 2. Parameterize Queries Paramétrer les requêtes ● 3. Encode Data Encoder les données ● 4. Validate All Inputs Valider toutes les entrées ● 5. Implement Identity and Authentication Controls Implémenter des contrôles d'identité et d'authentification 2016 Top 10 Proactive Controls suggestions ● 6. Implement Appropriate Access Controls Mettre en œuvre des contrôles d'accès appropriés ● 7. Protect Data Protéger les données ● 8. Implement Logging and Intrusion Detection Implémentez l'enregistrement et la détection d'intrusion ● 9. Leverage Security Frameworks and Libraries Tirer parti des cadres de sécurité et des bibliothèques ● 10. Error and Exception Handling. Gestion des erreurs et des exceptions.
RMLL 2017 – 4 Juillet 2017 Au niveau Site / Blog... //
RMLL 2017 – 4 Juillet 2017 Injection
RMLL 2017 – 4 Juillet 2017 ✔ Configuration non à jour ✔ Pas de maintenance ✔ Mise à disposition des fonctions ✔ Exec ✔ System ● Autre manière de prise en main du système ● Serveur Zombie ● Principe de l'attaque Conséquence Injection de ligne de commandes OWASP : A1 - Injection en ligne de commande
RMLL 2017 – 4 Juillet 2017 Désactiver dans php.ini – exec – passthru – shell_exec – system – proc_open – popen – curl_exec – curl_multi_exec – parse_ini_file – show_source Affiche le nom de l'utilisateur <?php echo exec('whoami'); ?> Par conséquent : safe_mode = Off allow_url_fopen=Off allow_url_include=Off OWASP : A1 - Injection en ligne de commande
RMLL 2017 – 4 Juillet 2017 ✔ Envoie du code SQL ✔ Formulaire ✔ GET / POST ✔ Cookies ✔ ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence Injection SQL OWASP : A1 - Injection SQL
RMLL 2017 – 4 Juillet 2017 Utilisation du SQL ● Risque : Requête avec des simples quotes SELECT * FROM 'users' WHERE 'username'='$login' AND 'password'='$pass' ● Saisie : $login = hello $pass = hello SELECT * FROM 'users' WHERE 'username'='hello' AND 'password'='hello' ● Saisie : $login = ' OR '1'='1' $pass =  ' OR '1'='1' SELECT * FROM 'users' WHERE 'username'='' OR '1'='1'' AND 'password'='' OR '1'='1'' ● Saisie : $login = ' OR 1=1"); drop table users; $pass = SELECT * FROM 'users' WHERE 'username'='' OR 1=1"); drop table users;' AND 'password'='' TRUE TRUE TRUE Sauf si BDD lecture OWASP : A1 - Injection SQL
RMLL 2017 – 4 Juillet 2017 Se protéger contre injection SQL ● addslashes() – Ajoute des antislashs dans une chaîne SELECT * FROM 'users' WHERE 'username'=' ' OR '1'='1' ' AND 'password'=' ' OR '1'='1' ' mysqli_real_escape_string() – Protège les caractères spéciaux ● pdo_quote() – Place des guillemets simples autour d'une chaîne entrée les guillemets simples ' les guillemets doubles " les slashes / les caractères NULL OWASP : A1 - Injection SQL
RMLL 2017 – 4 Juillet 2017 Provenance coté front ● Navigation ● Formulaire – Champs : Input, upload,... ● Des API Couche Métier OWASP : A1 – Injection API
RMLL 2017 – 4 Juillet 2017 ✔ Trouver ✔ des données stockés / archivés en clair ✔ Espace privée non partagée ✔ Communication avec la banque ✔ Déterminer les algorithmes de chiffrement faible ✔ Cible principale ✔ Mot de passes ✔ Données sensibles non chiffrées ✔ Carte bleu Principe de l'attaque Conséquence Exposition de données sensibles OWASP : A1 / A6 / A10
RMLL 2017 – 4 Juillet 2017 ✔ Envoie du code SQL ● Formulaire ● GET / POST ● Cookies ● ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence API Métier : connexion LDAP OWASP : A1 – Injection API
RMLL 2017 – 4 Juillet 2017 Mobiles / Tablettes
RMLL 2017 – 4 Juillet 2017 TOP 10 : Mobile Risk ✔ 1-Commandes côté serveur faible ✔ 2-Stockage de données non sécurisé ✔ 3-Protection insuffisante de la couche de transport ✔ 4-Fuite de données involontaire ✔ 5-Mauvaise autorisation et authentification ✔ 6-Cryptographie brisée ✔ 7-Injection côté client ✔ 8-Décisions de sécurité via les entrées non approuvées ✔ 9-Gestion incorrecte des sessions ✔ 10-Manque de protections binaires ✔ 1-Utilisation inappropriée de la plate- forme ✔ 2-Stockage de données non sécurisé ✔ 3-Communication insécurisée ✔ 4-Authentification non sécurisée ✔ 5-Cryptographie insuffisante ✔ 6-Autorisation non sécurisée ✔ 7-Qualité du code client ✔ 8-Code de falsification ✔ 9-Ingénierie inverse ✔ 10-Fonctionnalité exubérante 2014 2016 Z N Z XHausse Baisse Identique NouveauBaisse SortieRenommé
RMLL 2017 – 4 Juillet 2017 TOP 10 : Mobile Risk 2016 ● Utilisation inappropriée de la plate-forme – Les fonctionnalités inutiles - La sécurité – Accès aux contacts... ● Stockage de données non sécurisé – Stockage des données non sécurisé – Fuites de données involontaires ● Communication insécurisée – SSL incorrectes – communication en clair des informations sensibles... ● Authentification non sécurisée – identification pour l'utilisateur – Faiblesse dans la gestion des sessions... ● Cryptographie insuffisante – Problème lié à Cryptographie (pas été effectuée correctement) ● Autorisation non sécurisée – Défaillance dans l'autorisation – navigation forcée... ● Qualité du code client – Problème débordements de tampon – faire du code inutile... ● Code de falsification – Couvre les correctifs binaires – Modification de l'utilisation prévue du logiciel (par un attaquant)... ● Ingénierie inverse – Analyse du noyau binaire – possible d'exploiter d'autres vulnérabilités ● Fonctionnalité exubérante – Fonctionnalités backdoor cachées – des données dans les commentaires
RMLL 2017 – 4 Juillet 2017 Internet des Objets
RMLL 2017 – 4 Juillet 2017 TOP 10 : IoT Vulnerabilities ✔ 1 -Interface Web Insecure ✔ 2 -Authentification / Autorisation insuffisante ✔ 3 - Services réseau insécurisés ✔ 4 - Le manque de chiffrement de transport ✔ 5 - Problèmes de confidentialité ✔ 6 - Interface non sécurisée ✔ 7 - Interface mobile sans sécurité ✔ 8 - Configuration de sécurité insuffisante ✔ 9 - Logiciels / logiciels non sécurisés ✔ 10 - Faible sécurité physique 2015
RMLL 2017 – 4 Juillet 2017 L'avenir proche
RMLL 2017 – 4 Juillet 2017 Les tendances de l'IoT ● La protection de sécurité – Equipement vers Cloud (= chip to cloud) ● Sécurité et vie privée● Délégation de gestion aux utilisateurs ● La mort du mot de passe – Approche à grands pas
RMLL 2017 – 4 Juillet 2017 Images des outils
RMLL 2017 – 4 Juillet 2017 Outils et Technologies Automated security verification - Vulnerability scanners - Static Analysis Tools - Fuzzing Manual security verification - Penetration testing tools - Code Review tools Security architecture - Esapi Secure coding - AppSec Libraries - Esapi Reference Implémentation - Guards and Filters AppSec Management - Reporting Tools AppSec Education - Flawed App - Learning environnements - Live CD - Site Generator
RMLL 2017 – 4 Juillet 2017 En résumé : une politique de sécurité (1/2) ● Ne pas se cantonner : – Garantir les droits d'accès aux données – Accès aux ressources avec des systèmes d'authentifications ● Anticiper les risques futurs – Améliorer – Déployer – Evolution ● Suivre les mises à jours → Si vous utilisez une solution externe
RMLL 2017 – 4 Juillet 2017 En résumé : une politique de sécurité (2/2) ● Politique de sécurité – Identifier les besoins en termes de sécurité, les risques – Elaborer des règles et des procédures Services de l'organisation, matériels utilisés… – Surveiller et détecter les vulnérabilités →du système d'information, applications… En informer – Détecter les actions à entreprendre → Voir les bonnes personnes à contacter en cas d'une menace
RMLL 2017 – 4 Juillet 2017 Sources ● Web – https://www.owasp.org/index.php/Top10 – https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project ● Mobile – https://www.owasp.org/index.php/OWASP_Mobile_Security_Project – https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10 ● IoT – https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_(2014) ● OWASP – https://www.owasp.org
Merci Questions Christophe Villeneuve @hellosct1 Supports : - OWASP - OWASP France - Sébastien Gioria - C. Villeneuve

Recommandé

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 

Recommandé

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Audit
AuditAudit
Auditzan
 
Cours cryptographie
Cours cryptographie Cours cryptographie
Cours cryptographie Kràlj Karel Awouzouba
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Comprendre la securite web 2017
Comprendre la securite web 2017Comprendre la securite web 2017
Comprendre la securite web 2017Christophe Villeneuve
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécuritéChristophe Villeneuve
 

Contenu connexe

Tendances

Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Audit
AuditAudit
Auditzan
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 

Tendances (20)

Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Audit
AuditAudit
Audit
 
Cours cryptographie
Cours cryptographie Cours cryptographie
Cours cryptographie
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 

Similaire à Comprendre la securite web

La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainChristophe Villeneuve
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets webChristophe Villeneuve
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack
 
La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et phpneuros
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015Christophe Villeneuve
 
Sécuriser & chiffrer Mariadb - JDLL 2017
Sécuriser & chiffrer Mariadb - JDLL 2017Sécuriser & chiffrer Mariadb - JDLL 2017
Sécuriser & chiffrer Mariadb - JDLL 2017Christophe Villeneuve
 
MariaDB à l'assaut des developpeurs
MariaDB à l'assaut des developpeursMariaDB à l'assaut des developpeurs
MariaDB à l'assaut des developpeursChristophe Villeneuve
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.keyDamien Seguy
 

Similaire à Comprendre la securite web (20)

Comprendre la securite web 2017
Comprendre la securite web 2017Comprendre la securite web 2017
Comprendre la securite web 2017
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
 
La sécurité : ange ou démon ?
La sécurité : ange ou démon ?La sécurité : ange ou démon ?
La sécurité : ange ou démon ?
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demain
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets web
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
mimikatz @ sthack
mimikatz @ sthackmimikatz @ sthack
mimikatz @ sthack
 
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
 
La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et php
 
La sécurité et php
La sécurité et phpLa sécurité et php
La sécurité et php
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWF
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
 
La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015La securite pour les développeurs au RMLL 2015
La securite pour les développeurs au RMLL 2015
 
Sécuriser & chiffrer Mariadb - JDLL 2017
Sécuriser & chiffrer Mariadb - JDLL 2017Sécuriser & chiffrer Mariadb - JDLL 2017
Sécuriser & chiffrer Mariadb - JDLL 2017
 
MariaDB à l'assaut des developpeurs
MariaDB à l'assaut des developpeursMariaDB à l'assaut des developpeurs
MariaDB à l'assaut des developpeurs
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.key
 

Plus de Christophe Villeneuve

La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxChristophe Villeneuve
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webChristophe Villeneuve
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteChristophe Villeneuve
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activitesChristophe Villeneuve
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftChristophe Villeneuve
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueChristophe Villeneuve
 

Plus de Christophe Villeneuve (20)

MariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLMariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQL
 
La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans Firefox
 
pister les pisteurs
pister les pisteurspister les pisteurs
pister les pisteurs
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le web
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Mariadb une base de données NewSQL
Mariadb une base de données NewSQLMariadb une base de données NewSQL
Mariadb une base de données NewSQL
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnante
 
Pentest bus pirate
Pentest bus piratePentest bus pirate
Pentest bus pirate
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Foxfooding semaine 3
Foxfooding semaine 3Foxfooding semaine 3
Foxfooding semaine 3
 
Foxfooding
FoxfoodingFoxfooding
Foxfooding
 
Accessibilite web wcag rgaa
Accessibilite web wcag rgaaAccessibilite web wcag rgaa
Accessibilite web wcag rgaa
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activites
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et Microsoft
 
Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
Send large files with addons
Send large files with addonsSend large files with addons
Send large files with addons
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratique
 
Donnez la voix aux machines
Donnez la voix aux machinesDonnez la voix aux machines
Donnez la voix aux machines
 

Comprendre la securite web

  • 1. Comprendre la sécurité web Christophe Villeneuve @hellosct1
  • 2. Qui ??? Christophe Villeneuve mozilla reps - firefox os - B2GOS - ausy - afup – lemug.fr – mysql – mariadb – drupal – demoscene – firefoxos – drupagora – phptour – forumphp – solutionlinux – Libre@toi – eyrolles – editions eni – programmez – linux pratique – webriver – phptv – elephpant - owasp -security
  • 3. RMLL 2017 – 4 Juillet 2017 Alors… La sécurité La sécurité... c'est pour les autres Les attaques !!! ah ah ah.. je rigole
  • 4. RMLL 2017 – 4 Juillet 2017 Humour : La sécurité... Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
  • 6. RMLL 2017 – 4 Juillet 2017 La première menace ● La navigation sur internet ● Le téléchargement ● Vos identifiants ● Vos courriels (emails) ● Etc... C'est vous
  • 7. RMLL 2017 – 4 Juillet 2017 Les risques ● Ne connaissent pas – L'étendue des risques liés à la sécurité de leur site ● Significations du terme « piratage » ● Des sites listent les failles, alertes… ● Et surtout : – Vol d'informations – Usurpation d'identité – Indisponibilité de service – Défiguration de site – Désinformation
  • 8. RMLL 2017 – 4 Juillet 2017 Site 'alerte' de vulnérabilités (1/2) ● CVE – Commun Vulnerabilites and Exposures ● Dictionnaire des informations publiques relavites – Aux vulnérabilités de sécurité ● Base de données des Vulnérabilités (source d'informations) ● Concerne – CMS / Framework – OS – Navigateurs – Logiciels – ...
  • 9. RMLL 2017 – 4 Juillet 2017 Site 'alerte' de vulnérabilités (2/2) (C) https://www.cvedetails.com/browse-by-date.php
  • 10. RMLL 2017 – 4 Juillet 2017 Les vulnérabilités reconnues ● Insuffisance des tests de sécurité ● Configuration par défaut ● Pas de cryptage des données sensibles ● Pas de mises à jour du système ● La sécurité apparaît lors des catastrophes ● Surveillance inefficace ● Contrôle insuffisant de l'accès par des tiers
  • 11. RMLL 2017 – 4 Juillet 2017 Les différents types d'attaques ● Matériels ● Périphériques ● Smartphones ● Internet des Objets ● Le web● Logiciels
  • 12. RMLL 2017 – 4 Juillet 2017 Les points faibles… les bases applicatives
  • 13. RMLL 2017 – 4 Juillet 2017 Les vulnérabilités Web : Le symbole (1/2) <
  • 14. RMLL 2017 – 4 Juillet 2017 Les vulnérabilités Web : Le symbole (2/2) &lt ;
  • 15. RMLL 2017 – 4 Juillet 2017 Correspondance des caractères dangereux Caractères Decimal Hexadecimal HTML Character Set Unicode ''  (double quote) &#34; &#x22; &quot; u0022 ' (simple quote) &#39; &#x27; &apos: u0027 & (ampersand) &#38; &#x26; &amp; u0026 < (inférieur) &#60; &#x3C; &lt; u003c > (supérieur) &#62; &#x3E; &gt; u003e
  • 16. RMLL 2017 – 4 Juillet 2017 Oui mais pas que çà.
  • 17. RMLL 2017 – 4 Juillet 2017 STEGANOGRAPHIE L'art de cacher les choses à la vue de tous Trouver la courbe la plus longue dans l'image Q
  • 18. RMLL 2017 – 4 Juillet 2017 Code sécurisé ✔ Défense en profondeur ✔ Limité les accès de données à l'extérieur ✔ Maximiser les droits 3 points à connaître
  • 19. RMLL 2017 – 4 Juillet 2017 Mais... Quoi affiché !!! ✔ Erreur 404 ✔ Erreur 500 ✔ Fichier Log Un minimum d'informations lors d'un crash
  • 20. RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 1 / 3 ✔ Mettre une bonne stratégie de mot de passe ✔ Jpassword – Keepass... ✔ Ne pas le stocker en clair ✔ Pensez au captcha ou au jeton ✔ Force le mode SSL / TLS ✔ Limité le délais pour modifier son profil utilisateur ✔ Identification session ✔ Authentification coté serveur ✔ Pas d'authentification en JS / Ajax Le contrôle : Authentification
  • 21. RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 2 / 3 ✔ Gestion des sessions aléatoire (JSESSIONID / $_SESSION) ✔ Minimum d'informations visibles (ex URL) ✔ Eviter les données sensibles sur le réseau (VS scanner de réseau) ✔ Cookie sécurisé (onglets des navigateurs) ✔ Limiter la fin de session pour les projets sensibles (ex 5 minutes) ✔ Bloquer les doubles logins / accès ✔ 1 Authentification = 1 utilisateur = 1 connexion BDD → Pour l'Open Source Le contrôle des accès
  • 22. RMLL 2017 – 4 Juillet 2017 Minimum de sécurité... 3 / 3 ✔ Contrôler le cache ✔ Penser à vider le cache ✔ Fermer fenêtre ✔ Fermer Navigateur ✔ Fermer Application Logique de code... Pas sûr
  • 23. RMLL 2017 – 4 Juillet 2017 Les autres solutions
  • 24. RMLL 2017 – 4 Juillet 2017 OWASP ● OWASP : Open Web Application Security Project ● Communauté pour la sécurité des applications Webs ● Publications : TOP 10 / Cheat sheets / Owasp : secure Contrat ● Outils : Owasp Zed attack Proxy / ESAPI : API for / AppSensor :: a IDS / IPS ● Jeux : Owasp Cornucopia / Owasp Snake
  • 25. RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (web) 1/3 ✔ Failles d'injection ✔ Cross-Site Scripting (XSS) ✔ Violation d'authentification et de Session ✔ Référence directe non sécurisée à un objet ✔ Falsification de requête (CSRF) ✔ Mauvaise configuration de sécurité ✔ Stockage cryptographique non sécurisé ✔ Manque de restriction d'accès URL ✔ Communications non sécurisées ✔ Redirections non validées ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées 2010 X ✔ Fuite d'information et Traitement d'erreur Incorrect ✔ Exécution de Fichier Malicieux N X N 2013 ✔ Communications non sécuriséesX N Z Z N Z XHausse Baisse Identique NouveauBaisse SortieRenommé
  • 26. RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (web) 2/3 ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Contrôle d'accès cassé (catégorie 2004) ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Protection d'attaque insuffisante ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ API sous-protégées 2013 2017 rc 1 ✔ Redirections non validéesX N Z XHausse Baisse Identique NouveauBaisse SortieRenommé ✔ Failles d'injection ✔ Violation d'authentification et de Session ✔ Cross-Site Scripting (XSS) ✔ Référence directe non sécurisée à un objet ✔ Mauvaise configuration de sécurité ✔ Données sensibles accessible ✔ Manque de sécurité au niveau des rôles ✔ Falsification de requête (CSRF) ✔ Utilisation de composants connus vulnérables ✔ Redirections non validées ✔ Communications non sécuriséesX N Z Z N N
  • 27. RMLL 2017 – 4 Juillet 2017 TOP 10 : OWASP (3/3) ● 1. Verify for Security Early and Often Vérifier la sécurité tôt et souvent ● 2. Parameterize Queries Paramétrer les requêtes ● 3. Encode Data Encoder les données ● 4. Validate All Inputs Valider toutes les entrées ● 5. Implement Identity and Authentication Controls Implémenter des contrôles d'identité et d'authentification 2016 Top 10 Proactive Controls suggestions ● 6. Implement Appropriate Access Controls Mettre en œuvre des contrôles d'accès appropriés ● 7. Protect Data Protéger les données ● 8. Implement Logging and Intrusion Detection Implémentez l'enregistrement et la détection d'intrusion ● 9. Leverage Security Frameworks and Libraries Tirer parti des cadres de sécurité et des bibliothèques ● 10. Error and Exception Handling. Gestion des erreurs et des exceptions.
  • 28. RMLL 2017 – 4 Juillet 2017 Au niveau Site / Blog... //
  • 29. RMLL 2017 – 4 Juillet 2017 Injection
  • 30. RMLL 2017 – 4 Juillet 2017 ✔ Configuration non à jour ✔ Pas de maintenance ✔ Mise à disposition des fonctions ✔ Exec ✔ System ● Autre manière de prise en main du système ● Serveur Zombie ● Principe de l'attaque Conséquence Injection de ligne de commandes OWASP : A1 - Injection en ligne de commande
  • 31. RMLL 2017 – 4 Juillet 2017 Désactiver dans php.ini – exec – passthru – shell_exec – system – proc_open – popen – curl_exec – curl_multi_exec – parse_ini_file – show_source Affiche le nom de l'utilisateur <?php echo exec('whoami'); ?> Par conséquent : safe_mode = Off allow_url_fopen=Off allow_url_include=Off OWASP : A1 - Injection en ligne de commande
  • 32. RMLL 2017 – 4 Juillet 2017 ✔ Envoie du code SQL ✔ Formulaire ✔ GET / POST ✔ Cookies ✔ ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence Injection SQL OWASP : A1 - Injection SQL
  • 33. RMLL 2017 – 4 Juillet 2017 Utilisation du SQL ● Risque : Requête avec des simples quotes SELECT * FROM 'users' WHERE 'username'='$login' AND 'password'='$pass' ● Saisie : $login = hello $pass = hello SELECT * FROM 'users' WHERE 'username'='hello' AND 'password'='hello' ● Saisie : $login = ' OR '1'='1' $pass =  ' OR '1'='1' SELECT * FROM 'users' WHERE 'username'='' OR '1'='1'' AND 'password'='' OR '1'='1'' ● Saisie : $login = ' OR 1=1"); drop table users; $pass = SELECT * FROM 'users' WHERE 'username'='' OR 1=1"); drop table users;' AND 'password'='' TRUE TRUE TRUE Sauf si BDD lecture OWASP : A1 - Injection SQL
  • 34. RMLL 2017 – 4 Juillet 2017 Se protéger contre injection SQL ● addslashes() – Ajoute des antislashs dans une chaîne SELECT * FROM 'users' WHERE 'username'=' ' OR '1'='1' ' AND 'password'=' ' OR '1'='1' ' mysqli_real_escape_string() – Protège les caractères spéciaux ● pdo_quote() – Place des guillemets simples autour d'une chaîne entrée les guillemets simples ' les guillemets doubles " les slashes / les caractères NULL OWASP : A1 - Injection SQL
  • 35. RMLL 2017 – 4 Juillet 2017 Provenance coté front ● Navigation ● Formulaire – Champs : Input, upload,... ● Des API Couche Métier OWASP : A1 – Injection API
  • 36. RMLL 2017 – 4 Juillet 2017 ✔ Trouver ✔ des données stockés / archivés en clair ✔ Espace privée non partagée ✔ Communication avec la banque ✔ Déterminer les algorithmes de chiffrement faible ✔ Cible principale ✔ Mot de passes ✔ Données sensibles non chiffrées ✔ Carte bleu Principe de l'attaque Conséquence Exposition de données sensibles OWASP : A1 / A6 / A10
  • 37. RMLL 2017 – 4 Juillet 2017 ✔ Envoie du code SQL ● Formulaire ● GET / POST ● Cookies ● ... ✔ Contournement authentification ✔ Récupération des données de la base ✔ Récupération de fichiers ✔ Exécution de codes Principe de l'attaque Conséquence API Métier : connexion LDAP OWASP : A1 – Injection API
  • 38. RMLL 2017 – 4 Juillet 2017 Mobiles / Tablettes
  • 39. RMLL 2017 – 4 Juillet 2017 TOP 10 : Mobile Risk ✔ 1-Commandes côté serveur faible ✔ 2-Stockage de données non sécurisé ✔ 3-Protection insuffisante de la couche de transport ✔ 4-Fuite de données involontaire ✔ 5-Mauvaise autorisation et authentification ✔ 6-Cryptographie brisée ✔ 7-Injection côté client ✔ 8-Décisions de sécurité via les entrées non approuvées ✔ 9-Gestion incorrecte des sessions ✔ 10-Manque de protections binaires ✔ 1-Utilisation inappropriée de la plate- forme ✔ 2-Stockage de données non sécurisé ✔ 3-Communication insécurisée ✔ 4-Authentification non sécurisée ✔ 5-Cryptographie insuffisante ✔ 6-Autorisation non sécurisée ✔ 7-Qualité du code client ✔ 8-Code de falsification ✔ 9-Ingénierie inverse ✔ 10-Fonctionnalité exubérante 2014 2016 Z N Z XHausse Baisse Identique NouveauBaisse SortieRenommé
  • 40. RMLL 2017 – 4 Juillet 2017 TOP 10 : Mobile Risk 2016 ● Utilisation inappropriée de la plate-forme – Les fonctionnalités inutiles - La sécurité – Accès aux contacts... ● Stockage de données non sécurisé – Stockage des données non sécurisé – Fuites de données involontaires ● Communication insécurisée – SSL incorrectes – communication en clair des informations sensibles... ● Authentification non sécurisée – identification pour l'utilisateur – Faiblesse dans la gestion des sessions... ● Cryptographie insuffisante – Problème lié à Cryptographie (pas été effectuée correctement) ● Autorisation non sécurisée – Défaillance dans l'autorisation – navigation forcée... ● Qualité du code client – Problème débordements de tampon – faire du code inutile... ● Code de falsification – Couvre les correctifs binaires – Modification de l'utilisation prévue du logiciel (par un attaquant)... ● Ingénierie inverse – Analyse du noyau binaire – possible d'exploiter d'autres vulnérabilités ● Fonctionnalité exubérante – Fonctionnalités backdoor cachées – des données dans les commentaires
  • 41. RMLL 2017 – 4 Juillet 2017 Internet des Objets
  • 42. RMLL 2017 – 4 Juillet 2017 TOP 10 : IoT Vulnerabilities ✔ 1 -Interface Web Insecure ✔ 2 -Authentification / Autorisation insuffisante ✔ 3 - Services réseau insécurisés ✔ 4 - Le manque de chiffrement de transport ✔ 5 - Problèmes de confidentialité ✔ 6 - Interface non sécurisée ✔ 7 - Interface mobile sans sécurité ✔ 8 - Configuration de sécurité insuffisante ✔ 9 - Logiciels / logiciels non sécurisés ✔ 10 - Faible sécurité physique 2015
  • 43. RMLL 2017 – 4 Juillet 2017 L'avenir proche
  • 44. RMLL 2017 – 4 Juillet 2017 Les tendances de l'IoT ● La protection de sécurité – Equipement vers Cloud (= chip to cloud) ● Sécurité et vie privée● Délégation de gestion aux utilisateurs ● La mort du mot de passe – Approche à grands pas
  • 45. RMLL 2017 – 4 Juillet 2017 Images des outils
  • 46. RMLL 2017 – 4 Juillet 2017 Outils et Technologies Automated security verification - Vulnerability scanners - Static Analysis Tools - Fuzzing Manual security verification - Penetration testing tools - Code Review tools Security architecture - Esapi Secure coding - AppSec Libraries - Esapi Reference Implémentation - Guards and Filters AppSec Management - Reporting Tools AppSec Education - Flawed App - Learning environnements - Live CD - Site Generator
  • 47. RMLL 2017 – 4 Juillet 2017 En résumé : une politique de sécurité (1/2) ● Ne pas se cantonner : – Garantir les droits d'accès aux données – Accès aux ressources avec des systèmes d'authentifications ● Anticiper les risques futurs – Améliorer – Déployer – Evolution ● Suivre les mises à jours → Si vous utilisez une solution externe
  • 48. RMLL 2017 – 4 Juillet 2017 En résumé : une politique de sécurité (2/2) ● Politique de sécurité – Identifier les besoins en termes de sécurité, les risques – Elaborer des règles et des procédures Services de l'organisation, matériels utilisés… – Surveiller et détecter les vulnérabilités →du système d'information, applications… En informer – Détecter les actions à entreprendre → Voir les bonnes personnes à contacter en cas d'une menace
  • 49. RMLL 2017 – 4 Juillet 2017 Sources ● Web – https://www.owasp.org/index.php/Top10 – https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project ● Mobile – https://www.owasp.org/index.php/OWASP_Mobile_Security_Project – https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10 ● IoT – https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_(2014) ● OWASP – https://www.owasp.org
  • 50. Merci Questions Christophe Villeneuve @hellosct1 Supports : - OWASP - OWASP France - Sébastien Gioria - C. Villeneuve