Sébastien GIORIA, profile picture
Téléchargé parSébastien GIORIA
PPTX, PDF1,164 vues

Présentation Top10 CEGID Lyon

Le document présente la sécurité des applications web, soulignant que 75% des attaques ciblent le niveau applicatif, avec une vulnérabilité élevée dans 33% des applications. Il met en avant le rôle de l'OWASP, qui fournit des outils et des standards pour améliorer la sécurité, ainsi que des exemples de failles courantes et des conseils pour sécuriser les applications. La sécurité nécessite une approche proactive, impliquant des audits et des tests réguliers, tout en reconnaissant que l'humain reste le maillon faible.

Intégrer la présentation

Téléchargé 31 fois
La sécurité des applications Web CEGID - Lyon 12 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
Qui suis-je ? President du CLUSIR Poitou-Charentes, OWASP France Leader &évangeliste sebastien.gioria@owasp.org 12 ansd’expérience en Sécurité des Systèmesd’Information  Différentspostes de manager SSI dans la banque, l’assurance et les télécoms  Expertise Technique  Gestion du risque, Architectures fonctionnelles, Audits  Consulting et Formation en Réseaux et Sécurité  PenTesting, Digital Forensics  Domaines de prédilection :  Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight, …), Insécurité du Web. 
Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
Le constat actuel  Le système d’information s’ouvre : Thank You Google Trends Data for: l Buffer overflow l XSS  Architectures orientées services (SAAS, WebServices, ...)  Intégration de partenaires  « Multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, …  La sécurité aujourd’hui  Niveau  Niveau  Niveau  Niveau 1 2 3 4 : Le cable : VLAN : Liste de contrôle d’accès à 7 : Firewall, Proxy, IDS, IPS  L’Insécurité aujourd’hui  Niveau 8 : L’humain, l’utilisateur © 2009 - S.Gioria & OWASP
Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ? 1. Recevoir un mail du PDG ou d’un client a propos d’un bug ? 2. Recevoir un avis de sécurité du CERT ? 3. Vérifier lors de la phase de pré-production la sécurité 4. L’ignorance permet de bien dormir 5. 42, c’est la réponse universelle. © 2009 - S.Gioria & OWASP
Faiblesse des applications Web % Attaques % Dépenses 10 % Application Web 75 % 90 % 25 % Eléments Réseaux D’après une étude du GARTNER 75% des attaques ciblent le niveau Applicatif 33% des applications web sont vulnérables © 2009 - S.Gioria & OWASP
Je suis protégé contre les attaques, j’ai un firewall © 2009 - S.Gioria & OWASP 7
Mon site Web est sécurisé puisque il est protégé par SSL © 2009 - S.Gioria & OWASP 8
Seuls des génies de l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. © 2009 - S.Gioria & OWASP 9
Une faille sur une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. © 2009 - S.Gioria & OWASP 10
Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
L’OWASP (Open Web Application Security Project)  Indépendant des fournisseurs et des gouvernements.  Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.  Touts les documents, standards, outils sont fournis sur la base du modèle open-source.  Organisation :  Réunion d’experts indépendants en sécurité informatique  Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous  En France : une Association.  Le point d’entrée est le wiki http://www.owasp.org ©© 2009 S.Gioria && OWASP 2009 - - S.Gioria &
OWASPenFrance Un Conseild’Administration (Association loi 1901) : Président, évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate Un Bureau :  Le Conseild’Administration  RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital  Mathieu Estrade : DéveloppeurApache. Projets : Sensibilisation/ Formations : Interventions : Top 10 : traduit. Assurance (Java/PHP) Infosecurity Guides : en cours. Sociétéd’EDI (JAVA) OSSIR Questionnaire a destination des RSSI : en cours. OpérateurTéléphonie mobile (PHP/WebServices) Microsoft TechDays Groupe de travail de la sécurité applicative du CLUSIF Ministère de l’intérieur – SGDN Conférencesdans des écoles PCI-Global CERT-IST Ministère de la santé © 2009 - S.Gioria & OWASP
Les outils de l’OWASP © 2009 - S.Gioria & OWASP 18
Les publications  Toutes les publications sontdisponiblessur le site de l’OWASP: http://www.owasp.org  L’ensemble des documents estrégi par la licence GFDL (GNU Free Documentation License)  Les publications majeures :  Le TOP 10 des vulnérabilitésapplicatives  Le Guide de l’auditeur/du testeur  Le Code Review Guide  Le guide de conception d’applications Web sécurisées  La FAQ de l’insécurité des Applications Web. © 2009 - S.Gioria & OWASP
Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
www.owasp.org/index.php?title=Top_10_2007 © 2009 - S.Gioria & OWASP 17
A5 - Attaque CSRF (1) L’utilisateur se rend sur un forum annodin (2) Une iframe embarquée sur le forum demande au navigateur d'exécuter une requete sur un autre serveur (3) Le mot de passe est changé © 2009 - S.Gioria & OWASP
A7 – Violation de Session ou d’authentification © 2009 - S.Gioria & OWASP
Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
OWASP Enterprise Security API (ESAPI)  Un framework de sécurité pour les développeurs  Permettre de créer une application Web Sécurisée  Classes Java et .NET  Disponible sur le site de l’OWASP © 2009 - S.Gioria & OWASP
Pas de recette Miracle Mettre en place un cycle de développementsécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain © 2009 - S.Gioria & OWASP

Contenu connexe

PPTX
Les 5 risques les plus critiques des applications Web selon l'OWASP
paryaboukir
 
PPTX
Durcissement de code - Sécurité Applicative Web
parCyrille Grandval
 
PDF
Sécurité des Applications WEB -LEVEL1
parTarek MOHAMED
 
PDF
Les principales failles de sécurité des applications web actuelles
parBee_Ware
 
PDF
Sécurité des applications web
parGuillaume Grégoire
 
PPTX
Sécurité des Développements Webs et Mobiles
parPhonesec
 
PPTX
Les principales failles de sécurité des applications Web actuelles
parXavier Kress
 
PPTX
Owasp top 10 2010 Resist toulouse
parSébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
paryaboukir
 
Durcissement de code - Sécurité Applicative Web
parCyrille Grandval
 
Sécurité des Applications WEB -LEVEL1
parTarek MOHAMED
 
Les principales failles de sécurité des applications web actuelles
parBee_Ware
 
Sécurité des applications web
parGuillaume Grégoire
 
Sécurité des Développements Webs et Mobiles
parPhonesec
 
Les principales failles de sécurité des applications Web actuelles
parXavier Kress
 
Owasp top 10 2010 Resist toulouse
parSébastien GIORIA
 

Tendances

PDF
Sécurité des applications web: attaque et défense
parAntonio Fontes
 
PPTX
Sécurité des applications Web
parSylvain Maret
 
PPTX
La sécurité sur le web
parSofteam agency
 
PDF
SonarQube et la Sécurité
parSébastien GIORIA
 
PPTX
Introduction vulnérabilité web
pardavystoffel
 
PPT
Failles de sécurité
parGuillaume Harry
 
PDF
OWASP TOP 10 Proactive
parAbdessamad TEMMAR
 
PDF
Waf, le bon outil, la bonne administration
parBee_Ware
 
PDF
Les menaces applicatives
parBee_Ware
 
PDF
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
parCyber Security Alliance
 
PDF
Presentation des failles_de_securite
parBorni Dhifi
 
PDF
Les firewalls applicatifs HTTP / WAF
parSylvain Maret
 
PPTX
20100114 Waf V0.7
parSébastien GIORIA
 
PPT
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
parSébastien GIORIA
 
PDF
Securing your API and mobile application - API Connection FR
parSebastien Gioria
 
PPTX
Securite des Applications dans le Cloud
parSebastien Gioria
 
PDF
La Quete du code source fiable et sécurisé - GSDAYS 2015
parSebastien Gioria
 
PDF
White paper - La sécurisation des web services
parBee_Ware
 
PDF
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
parPatrick Leclerc
 
PPTX
Sécurité des applications Web
parKlee Group
 
Sécurité des applications web: attaque et défense
parAntonio Fontes
 
Sécurité des applications Web
parSylvain Maret
 
La sécurité sur le web
parSofteam agency
 
SonarQube et la Sécurité
parSébastien GIORIA
 
Introduction vulnérabilité web
pardavystoffel
 
Failles de sécurité
parGuillaume Harry
 
OWASP TOP 10 Proactive
parAbdessamad TEMMAR
 
Waf, le bon outil, la bonne administration
parBee_Ware
 
Les menaces applicatives
parBee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
parCyber Security Alliance
 
Presentation des failles_de_securite
parBorni Dhifi
 
Les firewalls applicatifs HTTP / WAF
parSylvain Maret
 
20100114 Waf V0.7
parSébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
parSébastien GIORIA
 
Securing your API and mobile application - API Connection FR
parSebastien Gioria
 
Securite des Applications dans le Cloud
parSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
parSebastien Gioria
 
White paper - La sécurisation des web services
parBee_Ware
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
parPatrick Leclerc
 
Sécurité des applications Web
parKlee Group
 

En vedette

PDF
OWASP Top 10 A4 – Insecure Direct Object Reference
parNarudom Roongsiriwong, CISSP
 
PPTX
Que faire à paris avec sa grand mere ?
parBubbleGlobe
 
PDF
Mon quotidien ecoleinclusive
par0596957s
 
PPTX
Informatica2
parguest2273bb
 
DOC
Plan de estudios integracion itey sena
parGiovanni Monroy
 
PDF
Ibm academic initiative for cloud
parIBM_cloud_ecosystem_development_france
 
PPTX
Tutorial Envio Actividad E-ducativa
parCintia Gomez
 
PDF
Informe tarea 2 grupo 4
parVane Torres
 
PPTX
Transparent x opaque
parMaha Hussain
 
PPT
Tics
parthony
 
PDF
RESUME detail services FR
parCarrillo Asesores Tributarios y Abogados, SLP.
 
PPT
PROF. LAURA GARCIA ASTURIMA
parguestb39534
 
PDF
Datamapper L Orm Dans Rails 3
parCyril Mougel
 
PDF
Enjeux de l'accessibilité EDNA
parPRI_iDEV
 
DOC
Guia1 octavo
parCiuad de Asis
 
DOC
Un estudio psicoanalítico sobre la relación líder
parRecursos Cristianos. Org
 
PDF
¿Deberían las bandas trabajar como start-ups?
parMao Solano
 
DOC
500 ilustracions completo copia
parRecursos Cristianos. Org
 
PPTX
Cómo crear un blog
parpatricia urbano
 
PDF
contigo creamos deseos - Admore DC
parAdmore.es
 
OWASP Top 10 A4 – Insecure Direct Object Reference
parNarudom Roongsiriwong, CISSP
 
Que faire à paris avec sa grand mere ?
parBubbleGlobe
 
Mon quotidien ecoleinclusive
par0596957s
 
Informatica2
parguest2273bb
 
Plan de estudios integracion itey sena
parGiovanni Monroy
 
Ibm academic initiative for cloud
parIBM_cloud_ecosystem_development_france
 
Tutorial Envio Actividad E-ducativa
parCintia Gomez
 
Informe tarea 2 grupo 4
parVane Torres
 
Transparent x opaque
parMaha Hussain
 
Tics
parthony
 
RESUME detail services FR
parCarrillo Asesores Tributarios y Abogados, SLP.
 
PROF. LAURA GARCIA ASTURIMA
parguestb39534
 
Datamapper L Orm Dans Rails 3
parCyril Mougel
 
Enjeux de l'accessibilité EDNA
parPRI_iDEV
 
Guia1 octavo
parCiuad de Asis
 
Un estudio psicoanalítico sobre la relación líder
parRecursos Cristianos. Org
 
¿Deberían las bandas trabajar como start-ups?
parMao Solano
 
500 ilustracions completo copia
parRecursos Cristianos. Org
 
Cómo crear un blog
parpatricia urbano
 
contigo creamos deseos - Admore DC
parAdmore.es
 

Similaire à Présentation Top10 CEGID Lyon

PPTX
Securité des applications web
parMarcel TCHOULEGHEU
 
PPTX
Chp5 - Sécurité des Services
parLilia Sfaxi
 
PPTX
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
parouiamlamghari12
 
PDF
Owasp top-10-2013-french
parvangogue
 
PDF
Développement sécurisé
parfacemeshfacemesh
 
PDF
Chapitre2-VF-Sécurité (1aaaaaaaaaaaa).pdf
parJoumeneMhamdi
 
PDF
Owasp
parChristophe Villeneuve
 
PDF
La sécurité des API: Quand les mauvais élèves entrent en piste.
parEyesOpen Association
 
PDF
2010 03-10-web applications firewalls v 0.8
parSébastien GIORIA
 
PDF
Présentation au CRI-Ouest
parSébastien GIORIA
 
PDF
2011 03-09-cloud sgi
parSébastien GIORIA
 
PDF
Le bon, la brute et le truand dans les nuages
parConFoo
 
PDF
2010 03-11-sdlc-v02
parSébastien GIORIA
 
PDF
Première rencontre d'owasp québec
parPatrick Leclerc
 
PPTX
Owasp et les failles des applications web
parHenrique Mukanda
 
PDF
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
parNormandie Web Xperts
 
PDF
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
parCyber Security Alliance
 
PDF
2012 11-07-owasp mobile top10 v01
parSébastien GIORIA
 
PDF
2012 03-01-ror security v01
parSébastien GIORIA
 
PPTX
Un peu de sécurité dans ce monde de Kiwi
parLaurie-Anne Bourdain
 
Securité des applications web
parMarcel TCHOULEGHEU
 
Chp5 - Sécurité des Services
parLilia Sfaxi
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
parouiamlamghari12
 
Owasp top-10-2013-french
parvangogue
 
Développement sécurisé
parfacemeshfacemesh
 
Chapitre2-VF-Sécurité (1aaaaaaaaaaaa).pdf
parJoumeneMhamdi
 
Owasp
parChristophe Villeneuve
 
La sécurité des API: Quand les mauvais élèves entrent en piste.
parEyesOpen Association
 
2010 03-10-web applications firewalls v 0.8
parSébastien GIORIA
 
Présentation au CRI-Ouest
parSébastien GIORIA
 
2011 03-09-cloud sgi
parSébastien GIORIA
 
Le bon, la brute et le truand dans les nuages
parConFoo
 
2010 03-11-sdlc-v02
parSébastien GIORIA
 
Première rencontre d'owasp québec
parPatrick Leclerc
 
Owasp et les failles des applications web
parHenrique Mukanda
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
parNormandie Web Xperts
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
parCyber Security Alliance
 
2012 11-07-owasp mobile top10 v01
parSébastien GIORIA
 
2012 03-01-ror security v01
parSébastien GIORIA
 
Un peu de sécurité dans ce monde de Kiwi
parLaurie-Anne Bourdain
 

Plus de Sébastien GIORIA

PDF
2014 09-25-club-27001 iso 27034-presentation-v2.2
parSébastien GIORIA
 
KEY
OWASP Mobile Top10 - Les 10 risques sur les mobiles
parSébastien GIORIA
 
PPTX
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
parSébastien GIORIA
 
PDF
Analyser la sécurité de son code source avec SonarSource
parSébastien GIORIA
 
PDF
OWASP, the life and the universe
parSébastien GIORIA
 
PDF
Secure Coding for Java
parSébastien GIORIA
 
PPTX
Owasp Top 10 2010 Rc1 French Version V02
parSébastien GIORIA
 
PDF
2013 02-27-owasp top10 javascript
parSébastien GIORIA
 
PDF
2014 09-04-pj
parSébastien GIORIA
 
PDF
2013 06-27-securecoding-en - jug pch
parSébastien GIORIA
 
PDF
2011 02-08-ms tech-days-sdl-sgi-v02
parSébastien GIORIA
 
PDF
OWASP Top10 2013 - Présentation aux RSSIA 2013
parSébastien GIORIA
 
PDF
2012 03-02-sdl-sgi-v03
parSébastien GIORIA
 
PDF
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
parSébastien GIORIA
 
PDF
2013 03-01 automatiser les tests sécurité
parSébastien GIORIA
 
PDF
2012 07-05-spn-sgi-v1-lite
parSébastien GIORIA
 
PDF
2011 02-07-html5-security-v1
parSébastien GIORIA
 
PDF
2013 04-04-html5-security-v2
parSébastien GIORIA
 
PDF
Top10 risk in app sec
parSébastien GIORIA
 
PDF
Top10 risk in app sec fr
parSébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
parSébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
parSébastien GIORIA
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
parSébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
parSébastien GIORIA
 
OWASP, the life and the universe
parSébastien GIORIA
 
Secure Coding for Java
parSébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
parSébastien GIORIA
 
2013 02-27-owasp top10 javascript
parSébastien GIORIA
 
2014 09-04-pj
parSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
parSébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
parSébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
parSébastien GIORIA
 
2012 03-02-sdl-sgi-v03
parSébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
parSébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
parSébastien GIORIA
 
2012 07-05-spn-sgi-v1-lite
parSébastien GIORIA
 
2011 02-07-html5-security-v1
parSébastien GIORIA
 
2013 04-04-html5-security-v2
parSébastien GIORIA
 
Top10 risk in app sec
parSébastien GIORIA
 
Top10 risk in app sec fr
parSébastien GIORIA
 

Présentation Top10 CEGID Lyon

  • 1.
    La sécurité desapplications Web CEGID - Lyon 12 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
  • 2.
    Qui suis-je ? Presidentdu CLUSIR Poitou-Charentes, OWASP France Leader &évangeliste sebastien.gioria@owasp.org 12 ansd’expérience en Sécurité des Systèmesd’Information  Différentspostes de manager SSI dans la banque, l’assurance et les télécoms  Expertise Technique  Gestion du risque, Architectures fonctionnelles, Audits  Consulting et Formation en Réseaux et Sécurité  PenTesting, Digital Forensics  Domaines de prédilection :  Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight, …), Insécurité du Web. 
  • 3.
    Agenda Mythes et réalités L’OWASP Lesfailles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 4.
    Le constat actuel Le système d’information s’ouvre : Thank You Google Trends Data for: l Buffer overflow l XSS  Architectures orientées services (SAAS, WebServices, ...)  Intégration de partenaires  « Multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, …  La sécurité aujourd’hui  Niveau  Niveau  Niveau  Niveau 1 2 3 4 : Le cable : VLAN : Liste de contrôle d’accès à 7 : Firewall, Proxy, IDS, IPS  L’Insécurité aujourd’hui  Niveau 8 : L’humain, l’utilisateur © 2009 - S.Gioria & OWASP
  • 5.
    Quel est lameilleur moyen de déterminer si votre applicatif a une faille de sécurité ? 1. Recevoir un mail du PDG ou d’un client a propos d’un bug ? 2. Recevoir un avis de sécurité du CERT ? 3. Vérifier lors de la phase de pré-production la sécurité 4. L’ignorance permet de bien dormir 5. 42, c’est la réponse universelle. © 2009 - S.Gioria & OWASP
  • 6.
    Faiblesse des applicationsWeb % Attaques % Dépenses 10 % Application Web 75 % 90 % 25 % Eléments Réseaux D’après une étude du GARTNER 75% des attaques ciblent le niveau Applicatif 33% des applications web sont vulnérables © 2009 - S.Gioria & OWASP
  • 7.
    Je suis protégécontre les attaques, j’ai un firewall © 2009 - S.Gioria & OWASP 7
  • 8.
    Mon site Webest sécurisé puisque il est protégé par SSL © 2009 - S.Gioria & OWASP 8
  • 9.
    Seuls des géniesde l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. © 2009 - S.Gioria & OWASP 9
  • 10.
    Une faille surune application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. © 2009 - S.Gioria & OWASP 10
  • 11.
    Agenda Mythes et réalités L’OWASP Lesfailles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 12.
    L’OWASP (Open Web ApplicationSecurity Project)  Indépendant des fournisseurs et des gouvernements.  Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.  Touts les documents, standards, outils sont fournis sur la base du modèle open-source.  Organisation :  Réunion d’experts indépendants en sécurité informatique  Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous  En France : une Association.  Le point d’entrée est le wiki http://www.owasp.org ©© 2009 S.Gioria && OWASP 2009 - - S.Gioria &
  • 13.
    OWASPenFrance Un Conseild’Administration (Associationloi 1901) : Président, évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate Un Bureau :  Le Conseild’Administration  RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital  Mathieu Estrade : DéveloppeurApache. Projets : Sensibilisation/ Formations : Interventions : Top 10 : traduit. Assurance (Java/PHP) Infosecurity Guides : en cours. Sociétéd’EDI (JAVA) OSSIR Questionnaire a destination des RSSI : en cours. OpérateurTéléphonie mobile (PHP/WebServices) Microsoft TechDays Groupe de travail de la sécurité applicative du CLUSIF Ministère de l’intérieur – SGDN Conférencesdans des écoles PCI-Global CERT-IST Ministère de la santé © 2009 - S.Gioria & OWASP
  • 14.
    Les outils del’OWASP © 2009 - S.Gioria & OWASP 18
  • 15.
    Les publications  Toutesles publications sontdisponiblessur le site de l’OWASP: http://www.owasp.org  L’ensemble des documents estrégi par la licence GFDL (GNU Free Documentation License)  Les publications majeures :  Le TOP 10 des vulnérabilitésapplicatives  Le Guide de l’auditeur/du testeur  Le Code Review Guide  Le guide de conception d’applications Web sécurisées  La FAQ de l’insécurité des Applications Web. © 2009 - S.Gioria & OWASP
  • 16.
    Agenda Mythes et réalités L’OWASP Lesfailles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 17.
  • 18.
    A5 - AttaqueCSRF (1) L’utilisateur se rend sur un forum annodin (2) Une iframe embarquée sur le forum demande au navigateur d'exécuter une requete sur un autre serveur (3) Le mot de passe est changé © 2009 - S.Gioria & OWASP
  • 19.
    A7 – Violationde Session ou d’authentification © 2009 - S.Gioria & OWASP
  • 20.
    Agenda Mythes et réalités L’OWASP Lesfailles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 21.
    OWASP Enterprise SecurityAPI (ESAPI)  Un framework de sécurité pour les développeurs  Permettre de créer une application Web Sécurisée  Classes Java et .NET  Disponible sur le site de l’OWASP © 2009 - S.Gioria & OWASP
  • 22.
    Pas de recetteMiracle Mettre en place un cycle de développementsécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain © 2009 - S.Gioria & OWASP