Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Approches autour de l'analyse de code pour améliorer la qualité des projets
Sont abordés :
- Le pair programming
- L'analyse statique
- L'audit de code
La session passe en revue les avantages et points d'attention de chaque approche, ainsi que les outils couramment utilisés. Le tout se basera également sur un retour d'expérience (équipe de 15 devs Java) avec un focus sur la piste que nous avons privilégiée : Phabricator (audit de code)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Internet is born at the end of the 80’s and Web at the beginning of the 90’s, giving a passive consultation mode on Web sites to the user. At the beginning of the 21th century, Web 2.0, the Web surfer became active and content creator and applications were deployed on the Web. As all the applications, vulnerabilities exist but they are exposed to a bigger population. They may generate problems such as confidential information steal, or application corruption.
This document deals with the top ten most critical security risks identified by Open Web Application Security Project. Each weakness is explained and illustrated by some examples. Rules are given to protect against attacks. These good practices are completed to propose new habits to the developer and protect his applications.
The document provides an introduction to secure coding in Java. It discusses the Open Web Application Security Project (OWASP) and its mission to improve software security. It then covers 10 simple principles for writing secure code, such as input validation, output encoding, and parameterized queries. Examples of SQL injection and LDAP injection vulnerabilities are shown, along with ways to avoid them through parameterization and input sanitization. The importance of using security mechanisms from trusted libraries rather than reimplementing them is also stressed.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Approches autour de l'analyse de code pour améliorer la qualité des projets
Sont abordés :
- Le pair programming
- L'analyse statique
- L'audit de code
La session passe en revue les avantages et points d'attention de chaque approche, ainsi que les outils couramment utilisés. Le tout se basera également sur un retour d'expérience (équipe de 15 devs Java) avec un focus sur la piste que nous avons privilégiée : Phabricator (audit de code)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Internet is born at the end of the 80’s and Web at the beginning of the 90’s, giving a passive consultation mode on Web sites to the user. At the beginning of the 21th century, Web 2.0, the Web surfer became active and content creator and applications were deployed on the Web. As all the applications, vulnerabilities exist but they are exposed to a bigger population. They may generate problems such as confidential information steal, or application corruption.
This document deals with the top ten most critical security risks identified by Open Web Application Security Project. Each weakness is explained and illustrated by some examples. Rules are given to protect against attacks. These good practices are completed to propose new habits to the developer and protect his applications.
The document provides an introduction to secure coding in Java. It discusses the Open Web Application Security Project (OWASP) and its mission to improve software security. It then covers 10 simple principles for writing secure code, such as input validation, output encoding, and parameterized queries. Examples of SQL injection and LDAP injection vulnerabilities are shown, along with ways to avoid them through parameterization and input sanitization. The importance of using security mechanisms from trusted libraries rather than reimplementing them is also stressed.
Windows 8 enrichit le modèle de sécurité pour prendre en compte les applications modernes que sont les Windows Apps. Durant cette session, vous découvrirez le concept de conteneur isolé (AppContainer) et vous en comprendrez le fonctionnement. De plus, cette session comportera des démonstrations pour illustrer en pratique les niveaux d’intégrité, les capacités ainsi que les brokers. Pas de code mais une plongée en profondeur dans les arcanes de la sécurité système avec des démos.
Le Pôle Régional Numérique est fier de vous proposer de faire partie de la délégation d’entreprises françaises qui partira présenter au Qatar son savoir-faire numérique.
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
a) L'état de l'art 2010 sur les technologies d'authentification forte:
Out of Band Authentication
Risk Based Authentication
Biométrie Match on Card
OTP pour les smartphones notamment l'Iphone
PKI
Soft Token
Passeport Internet
Cryptographie matricielle
Les tendances...
b) Les approches pour l'intégration avec vos applications Web:
OpenID, SAML, Liberty Alliance / Kantara
API, Agents, Web Services, Modules
PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
Par Sylvain MARET
infographie : les indicateurs de performance marketing B2BSO'xperts
La liste des indicateurs clés de performance marketing ou le tableau de bord rêvé du manager pour piloter, préparer le budget marketing et prendre les bonnes décisions.
Ce talk est une introduction au Secure Coding pour Java. Il s'efforcera de présenter via différents exemples les bonnes pratiques permettant de développer de manière pragmatique une application java sécurisée. Nous aborderons aussi bien des pratiques fonctionnelles que des morceaux de codes java à erreurs et leur correctifs.
Ce livre définit la nature des API modernes et vous guide dans vos activités de prise de décision, depuis l’identification des API à fournir ou à consommer jusqu’à la création d’une plate-forme d’API efficace.
El documento resume el mensaje y la filosofía del colectivo feminista ruso Pussy Riot. A pesar de la atención de los medios por su condena por realizar una performance en una catedral de Moscú, pocos han escuchado realmente sus demandas, que incluyen terminar con cualquier tipo de dominación, no solo oponerse a Putin. Sus escritos enfatizan su oposición al patriarcado, al capitalismo y a la religión ortodoxa rusa que impone valores conservadores. Ellas buscan liberarse de estas estructuras de poder y dominación
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
Les smartphones sont aujourdhui partie prenante de toutes les entreprises , avec le BYOD la menace augmente Malheureusement ces outils sont actuellement la cible de toutes les attaques pour entrer dans l'entreprise. Nous détaillerons dans cette présentation les dix risques les plus courants s'appliquant aux smartphones ainsi que les remédiations possibles dans un environnement Windows Phone
La "Sécurité Zéro Confiance" apparaît comme la plus efficace des approches pour les entreprises cherchant à faire face aux cybermenaces !
Avec Mohamed Amin LEMFADLI CEO de T&S Consulting et Sami RIFKY Vice Président ISACA Chapter Morocco, nous proposons de présenter les tenants et aboutissants de ce thème de façon intelligible pour un public même non initié, puisque la promotion des bonnes pratiques fait partie de la contribution à la lutte contre la cybercriminalité et à la protection des entreprises.
Présentée lors de la conférence en ligne le 20.06.2020
soft-shake.ch - Distribution d'applications iPhone en Entreprise: Réalisation...soft-shake.ch
Géraud de Laval, Philip Baertschi
Depuis iOS4, il est possible de distribuer des applications iPhone via HTTP. Nous verrons comment utiliser ces nouveaux outils pour distribuer des applications à travers d'un AppStore interne, que ce soit pour le test AdHoc ou pour le déploiement en entreprise.
Activité historique de la société depuis sa création, ITrust conseille et accompagne petites et grandes entreprises dans leur démarche de sécurisation. ITrust a acquis une expérience riche en sécurité informatique et réseau et offre ainsi aux entreprises un accompagnement de qualité.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Proposez le WIFI à vos clients, comment faire ? - Destination BrocéliandeDestination Brocéliande
Vous proposez peut-être déjà le wifi à vos clients... Mais savez-vous que vous devez sécuriser ce réseau et conserver les données de connexion pendant 1 an ? La société 2iSR, spécialisée dans l'équipement wifi professionnel, vous présentera la législation.
Exemple et étude de cas à l'appui.
Contenu de l’atelier : Les enjeux du réseaux WIFI, La législation, Présentation des solutions techniques possibles avec Clic & Surf, Etudes de cas
The document discusses securing code through proper authorization and access control. It recommends avoiding hard-coded authorization rules and instead using a centralized access control system. The document outlines some common anti-patterns like untrusted data driving access decisions and discusses how improper access controls can enable data tampering or disclosure of confidential information.
Security is important for Devs. You need to add in depth capability to secure Apps, and for this, this presentation give you simply principles to add it to a Java App.
This slides come from the Java User Group Summer Camp 2015 in France
The document discusses OWASP (Open Web Application Security Project) and its IoT Top 10 project. OWASP is an open source foundation focused on application security best practices. It publishes various guides and tools, including the Top 10 most critical web application security risks and the new IoT Top 10. The IoT Top 10 aims to help secure the growing number of internet-connected devices by identifying common vulnerabilities like insecure interfaces, authentication issues, lack of encryption, and more. The presentation provides an overview of each IoT Top 10 risk and recommendations for mitigation.
The document discusses a meeting at Mozilla Paris on June 5th 2014 about application security. It introduces Sebastien Gioria from OWASP and provides an agenda covering the current state of application security, where it is hopefully going, and major OWASP projects that can be used. It then discusses why application security is important given the prevalence of digital services and connected devices, and common vulnerabilities found in websites.
The document discusses a meeting at Mozilla Paris on June 5th 2014 about application security. It begins with an introduction of Sebastien Gioria from OWASP who will be presenting. The agenda includes discussing the current state and future of application security, as well as an overview of the Open Web Application Security Project (OWASP) and major projects. It then discusses why application security is important given the prevalence of digital services and connected devices that can be hacked. Statistics are presented on the most common vulnerabilities and who the "winners" are in cyber attacks. An overview of OWASP is provided, including its mission, community involvement, resources and projects. The 10 most critical web application security risks or "OWASP Top 10
Ce talk est une introduction au Secure Coding pour Java. Il s'efforcera de présenter via différents exemples les bonnes pratiques permettant de développer de manière pragmatique une application java sécurisée. Nous aborderons aussi bien des pratiques fonctionnelles que des morceaux de codes java à erreurs et leur correctifs
Securing your API and mobile application - API Connection FR
1. API
Connec*on
16
Juin
2015
Paris
-‐
France
Sébas&en
Gioria
Sebas*en.Gioria@owasp.org
Chapter
Leader
&
Evangelist
OWASP
France
API
:
les
risques
technologiques
et
les
bonnes
pra*ques
2. 2
http://www.google.fr/#q=sebastien gioria
• Innova*on
and
Technology
@Advens
&&
Applica*on
Security
Expert
• OWASP
France
Leader
&
Founder
&
Evangelist,
• OWASP
ISO
Project
&
OWASP
SonarQube
Project
Leader
• Applica*on
Security
group
leader
for
the
CLUSIF
• Legal
Expert
at
Cour
of
Appeal
of
Poi*ers
• Proud
father
of
youngs
kids
trying
to
hack
my
digital
life
Twitter :@SPoint/@OWASP_France
2
3. Agenda
• Pourquoi
parler
de
sécurité
API
?
• OWASP
?
• Que
trouve-‐t-‐on
dans
une
applica*on
?
• Sécuriser
son
API
en
4(,2)
minutes
3
4. Sécurité
des
API
?
4
Votre application sera
piratée
Laissez moi
vous mettre
sur le bon
chemin 4
Votre
application
a des
chances
d'être
piratée ?
Votre
application
a été
piratée
OUI
NON
NON
OUI
OK,
Allons
y
5. Nous
vivons
dans
un
monde
connecté
en
permanence,
dans
un
environnement
Digital.
v La
plupart
des
applica*ons
et
sites
Web
sont
vulnérables
à
99%
v Le
business
est
basé
majoritairement
sur
des
applica*ons
de
type
Webs
(Services,
Online
Store,
Self-‐care,
Telcos,
SCADA,
...)
Sécurité
Applica*ve
Age
de
l'an*virus
Age
de
la
sécurité
périmétrique
Age
de
la
sécurité
Applica*ve
5
6. Open
Web
Applica*on
Security
Project
• OWASP
Moto
:
“Making
Applica*on
Security
Visible”
• Né
en
2001
• Fonda*on
américaine,
en
France
une
associa*on
• Citée
dans
des
tas
de
standards
et
recommanda*ons:
– PCI-‐DSS
(Chapitres
6.5
&&
6.6)
– NIST
– ANSSI
guides,
– ....
• L'OWASP
c'est
:
– des
Ou*ls
,
– des
API,
– de
la
Documenta*on,
– des
Conférences,
– des
Blogs,
– du
Contenu
audio/video
:
youtube,
podcast,
....
12. Connaître
son
ennemi
“On
ne
peut
pas
créer
une
applica*on,
tant
que
l'on
ne
sait
pas
comment
elle
sera
piratée"
Thanks
to
Royston
Robertson
www.roystonrobertson.co.uk
for
permission
to
use
his
cartoon!
13. Connaître
son
ennemi
• Concevoir
l'API
avec
une
approche
u*lisateur
– Les
pirates
sont
astucieux,
il
faut
imposer
les
scénarios
u*lisateurs
• Ne
pas
se
contenter
de
sécuriser
le
lien
le
plus
faible
• Modéliser
les
amaques
sur
l'API
– Connaître
les
fron*ères
de
confiance
16. Chiffrer
le
trafic
et
sécuriser
les
iden*fiants
• Ne
pas
stocker
de
secret
sur
le
client
– U*liser
l'authen*fica*on
sur
le
serveur
le
plus
souvent
possible
– U*liser
les
mécanismes
de
coffre
fort
lorsqu'ils
sont
disponibles
et
qu'un
stockage
sur
le
client
est
nécessaire
• Imposer
TLS
par
défaut
dans
toutes
les
communica*ons
– Cela
ne
change
pas
grand
chose
de
plus
qu'un
's'
dans
l'URL.
19. Surveiller
le
trafic
• Ne
pas
tracer
que
les
éléments
en
erreurs…
– Les
amaques
par
"scrapping"
u*lisent
des
requêtes
correctes...
• Réagir
à
des
trafics
innatendus
– Début
d'une
amaque
par
"scrapping"
?
• Le
Big
Data
et
les
SIEM
peuvent
permemre
de
trouver
correctement
les
amaques
22. Sécuriser
le
code
• Former
les
chefs
de
projets,
les
dévelopeurs,
les
architectes,
à
la
sécurité
applica*ve.
• Tester
et
analyser
son
code
avec
des
ou*ls
et
des
êtres
humains
– SAST
– DAST
– RASP
• U*liser
les
guides
et
documenta*ons
de
Secure
Coding
OWASP
et
du
CERT.