SlideShare ist ein Scribd-Unternehmen logo
1 von 25
Downloaden Sie, um offline zu lesen
Authentifications
                  Gestion des Sessions
                    Contrôle d'Accès

     Le point de vue d' OWASP ASVS
 (Application Security Verification Standard )




Geneva Application Security Forum 4 mars 2010
Philippe Léothaud : chez BeeWare depuis 2003, d'abord en
charge de l'offre Web SSO puis CTO depuis 2006

Bee Ware :
   –   éditeur d'un WAF depuis 2001
   –   solution de WebSSO depuis 2003
   –   outil d'Application Security Assessment depuis 2005
   –   Gateway XML complète depuis 2007

Aujourd'hui, regroupement de toutes ces fonctionnalités sur une
plate-forme unique : i-Suite

But : fournir aux Systèmes d'Information une gamme de
modules pilotés par une console centralisée couvrant l'intégralité
des besoins techniques des infrastructures applicatives métier :
   –   sécurité
   –   contrôle d'accès
   –   manipulation des flux
   –   optimisation de la bande passante
   –   haute disponibilité et répartition de charge
   –   audit et monitoring des flux.

Geneva Application Security Forum 4 mars 2010
Qu'est-ce que ASVS

  Unité de mesure du niveau de sécurité d'une
  application Web
  Liste exhaustive des contrôles à mettre en place pour
  garantir un niveau de sécurité donné
  Base d'exigences pour la contractualisation des
  vérifications de sécurité.




                                                          3
Geneva Application Security Forum 4 mars 2010
Quelles réponses apporte l'ASVS

  Quels contrôles de sécurité sont nécessaires pour garantir
  à mon application le niveau de sécurité attendu ?

  Quelles doivent être les parties couvertes et le niveau
  d'exigence lors de ces contrôles de sécurité ?

  Quel est le niveau de sécurité d'une application Web ?




                                                               4
Geneva Application Security Forum 4 mars 2010
Exigences de vérification de l'ASVS




  Exigences d'architecture
  Exigences de vérification de la sécurité




  Liste détaillée des vérifications à
  effectuer, par niveau

                                                  5
Geneva Application Security Forum 4 mars 2010
Exigences de reporting de l'ASVS

  R1 –Introduction

  R2 – Description de l'application

  R3 – Approche architecturale

  R4 – Résultats de la vérification




                                                6
Geneva Application Security Forum 4 mars 2010
Les niveaux de vérification de l'ASVS

         The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location.




                                                                                                                                                                      7
Geneva Application Security Forum 4 mars 2010
Définition des niveaux

  Niveau 1 – Vérification automatisée (vérification partielle de
  l'application)
       − Niveau 1A –Scan dynamique
       − Niveau 1B – Analyse du code source
  Niveau 2 – Vérification manuelle (vérification partielle de
  l'application)
       − Niveau 2A – Test d'intrusion
       − Niveau 2B – Revue de code
  Niveau 3 – Vérification de la conception
  Niveau 4 – Vérification des fonctions internes




                                                                   8
Geneva Application Security Forum 4 mars 2010
Niveau 1 en détail

  Vérification
  automatisée en «boite
  noire» de l'application
  vue soit comme un
  tout, soit comme un
  groupe de composants
  Le chemin d'une
  requête à travers
  l'application n'a pas
  besoin d'être
  documenté



                                                9
Geneva Application Security Forum 4 mars 2010
Niveau 1A et niveau 1B




  Niveau 1A                                Niveau 1B
  Analyse dynamique partielle            Analyse partielle du code source




Les 2 sont nécessaires pour obtenir un niveau 1
complet
                                                                        10
Geneva Application Security Forum 4 mars 2010
Niveau 2 en détail

  Vérification manuelle
  d'une application vue
  comme un groupe de
  composants organisés
  selon une architecture
  de haut niveau
  Les chemins des
  requêtes testées à
  travers l'application
  doivent être documentés




                                                11
Geneva Application Security Forum 4 mars 2010
Niveau 2A et niveau 2B




  Niveau 2A                                Niveau 2B
Tests de pénétration manuels             Revue manuelle du code
                                           source




Les 2 sont nécessaires pour obtenir un
niveau 2 complet.
                                                                  12
Geneva Application Security Forum 4 mars 2010
Niveau 3 en détail
                                     The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location.




  En plus du niveau 2,
  modélisation des
  menaces contre les
  assets critiques et
  vérification de la
  conception
  Tous les chemins des
  requêtes à travers
  l'application doivent être
  documentés




                                                                                                                                                                                                  13
Geneva Application Security Forum 4 mars 2010
Niveau 4 en détail
                                 The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location.




 En plus du niveau 3,
 prise en compte du
 code des librairies et
 des frameworks




                                                                                                                                                                                              14
Geneva Application Security Forum 4 mars 2010
ASVS dans le Cycle de Vie des Développements




                                                15
Geneva Application Security Forum 4 mars 2010
Les 14 familles d’exigences

  V1. Architecture sécurisée
                                            V9. Protection des données
  V2. Authentification
                                            V10. Sécurité des voies de
  V3. Gestion de Sessions
                                            communications
  V4. Contrôle d'accès
                                            V11. Sécurité de HTTP
  V5. Validations des entrées
                                            V12. Configuration de la
  V6. Encodage et                           sécurité
  échappement des sorties
                                            V13. Recherche de codes
  V7. Cryptographie                         malicieux
  V8. Gestion des erreurs et                V14. Sécurité interne
  de la journalisation



                                                                         16
Geneva Application Security Forum 4 mars 2010
Authentification

« Les exigences de vérification d'authentification définissent un
ensemble d'exigences pour générer et
gérer les jetons d'authentification utilisateur de manière sûre »




                                                                    17
 Geneva Application Security Forum 4 mars 2010
Authentification




                                                18
Geneva Application Security Forum 4 mars 2010
Authentification




                                                19
Geneva Application Security Forum 4 mars 2010
Gestion des sessions

« Les exigences de vérification de gestion des sessions,
définissent un ensemble d'exigences pour utiliser de manière
sûre : requêtes HTTP, réponses, sessions, cookies, en-têtes
(headers) et la journalisation de sorte à gérer les sessions
correctement.
Le tableau ci-dessous définit les exigences de vérification
correspondantes s'appliquant aux quatre niveaux de vérification »




                                                                    20
 Geneva Application Security Forum 4 mars 2010
Gestion des sessions




                                                21
Geneva Application Security Forum 4 mars 2010
Gestion des sessions




                                                22
Geneva Application Security Forum 4 mars 2010
Contrôle d’accès

« Ces exigences définissent les points requis de vérification de
contrôles d'accès pour les URLs, les fonctionnalités
commerciales, les données, les services ainsi que les fichiers.
Le tableau ci-dessous définit les exigences de vérification
correspondantes qui s'appliquent pour chacun des quatre
niveaux de vérification »




                                                                   23
 Geneva Application Security Forum 4 mars 2010
Contrôle d’accès




                                                24
Geneva Application Security Forum 4 mars 2010
Contrôle d’accès




                                                25
Geneva Application Security Forum 4 mars 2010

Weitere ähnliche Inhalte

Ähnlich wie 2010 - Intégration de l'authentification: les mesures proposées par OWASP

Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESSOAT
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1Mohamed Ouederni
 
Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1realtn
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudMicrosoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
System Center Operations Manager et la supervision des applications (.Net et ...
System Center Operations Manager et la supervision des applications (.Net et ...System Center Operations Manager et la supervision des applications (.Net et ...
System Center Operations Manager et la supervision des applications (.Net et ...Microsoft Technet France
 
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...Microsoft Technet France
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en OData
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en ODataDe A à Z: Accès aux données avec Entity Framework 4.2 et publication en OData
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en ODataMicrosoft
 
What's Next Replay! Lyon 2011 - A. Cogoluegnes
What's Next Replay! Lyon 2011 - A. CogoluegnesWhat's Next Replay! Lyon 2011 - A. Cogoluegnes
What's Next Replay! Lyon 2011 - A. CogoluegnesZenika
 
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssam_Eddine Boulfrakh
 

Ähnlich wie 2010 - Intégration de l'authentification: les mesures proposées par OWASP (20)

TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Framework .net overview
Framework .net overviewFramework .net overview
Framework .net overview
 
Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1
 
Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1Presentation certification 70-536 atelier 1
Presentation certification 70-536 atelier 1
 
Offre technique
Offre techniqueOffre technique
Offre technique
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
System Center Operations Manager et la supervision des applications (.Net et ...
System Center Operations Manager et la supervision des applications (.Net et ...System Center Operations Manager et la supervision des applications (.Net et ...
System Center Operations Manager et la supervision des applications (.Net et ...
 
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en OData
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en ODataDe A à Z: Accès aux données avec Entity Framework 4.2 et publication en OData
De A à Z: Accès aux données avec Entity Framework 4.2 et publication en OData
 
What's Next Replay! Lyon 2011 - A. Cogoluegnes
What's Next Replay! Lyon 2011 - A. CogoluegnesWhat's Next Replay! Lyon 2011 - A. Cogoluegnes
What's Next Replay! Lyon 2011 - A. Cogoluegnes
 
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
Houssem BOULFRAKH - WebPhone (Projet de fin d'études)
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 

Mehr von Cyber Security Alliance

Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itCyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacksCyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupCyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance
 

Mehr von Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

2010 - Intégration de l'authentification: les mesures proposées par OWASP

  • 1. Authentifications Gestion des Sessions Contrôle d'Accès Le point de vue d' OWASP ASVS (Application Security Verification Standard ) Geneva Application Security Forum 4 mars 2010
  • 2. Philippe Léothaud : chez BeeWare depuis 2003, d'abord en charge de l'offre Web SSO puis CTO depuis 2006 Bee Ware : – éditeur d'un WAF depuis 2001 – solution de WebSSO depuis 2003 – outil d'Application Security Assessment depuis 2005 – Gateway XML complète depuis 2007 Aujourd'hui, regroupement de toutes ces fonctionnalités sur une plate-forme unique : i-Suite But : fournir aux Systèmes d'Information une gamme de modules pilotés par une console centralisée couvrant l'intégralité des besoins techniques des infrastructures applicatives métier : – sécurité – contrôle d'accès – manipulation des flux – optimisation de la bande passante – haute disponibilité et répartition de charge – audit et monitoring des flux. Geneva Application Security Forum 4 mars 2010
  • 3. Qu'est-ce que ASVS Unité de mesure du niveau de sécurité d'une application Web Liste exhaustive des contrôles à mettre en place pour garantir un niveau de sécurité donné Base d'exigences pour la contractualisation des vérifications de sécurité. 3 Geneva Application Security Forum 4 mars 2010
  • 4. Quelles réponses apporte l'ASVS Quels contrôles de sécurité sont nécessaires pour garantir à mon application le niveau de sécurité attendu ? Quelles doivent être les parties couvertes et le niveau d'exigence lors de ces contrôles de sécurité ? Quel est le niveau de sécurité d'une application Web ? 4 Geneva Application Security Forum 4 mars 2010
  • 5. Exigences de vérification de l'ASVS Exigences d'architecture Exigences de vérification de la sécurité Liste détaillée des vérifications à effectuer, par niveau 5 Geneva Application Security Forum 4 mars 2010
  • 6. Exigences de reporting de l'ASVS R1 –Introduction R2 – Description de l'application R3 – Approche architecturale R4 – Résultats de la vérification 6 Geneva Application Security Forum 4 mars 2010
  • 7. Les niveaux de vérification de l'ASVS The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. 7 Geneva Application Security Forum 4 mars 2010
  • 8. Définition des niveaux Niveau 1 – Vérification automatisée (vérification partielle de l'application) − Niveau 1A –Scan dynamique − Niveau 1B – Analyse du code source Niveau 2 – Vérification manuelle (vérification partielle de l'application) − Niveau 2A – Test d'intrusion − Niveau 2B – Revue de code Niveau 3 – Vérification de la conception Niveau 4 – Vérification des fonctions internes 8 Geneva Application Security Forum 4 mars 2010
  • 9. Niveau 1 en détail Vérification automatisée en «boite noire» de l'application vue soit comme un tout, soit comme un groupe de composants Le chemin d'une requête à travers l'application n'a pas besoin d'être documenté 9 Geneva Application Security Forum 4 mars 2010
  • 10. Niveau 1A et niveau 1B Niveau 1A Niveau 1B Analyse dynamique partielle Analyse partielle du code source Les 2 sont nécessaires pour obtenir un niveau 1 complet 10 Geneva Application Security Forum 4 mars 2010
  • 11. Niveau 2 en détail Vérification manuelle d'une application vue comme un groupe de composants organisés selon une architecture de haut niveau Les chemins des requêtes testées à travers l'application doivent être documentés 11 Geneva Application Security Forum 4 mars 2010
  • 12. Niveau 2A et niveau 2B Niveau 2A Niveau 2B Tests de pénétration manuels Revue manuelle du code source Les 2 sont nécessaires pour obtenir un niveau 2 complet. 12 Geneva Application Security Forum 4 mars 2010
  • 13. Niveau 3 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 2, modélisation des menaces contre les assets critiques et vérification de la conception Tous les chemins des requêtes à travers l'application doivent être documentés 13 Geneva Application Security Forum 4 mars 2010
  • 14. Niveau 4 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 3, prise en compte du code des librairies et des frameworks 14 Geneva Application Security Forum 4 mars 2010
  • 15. ASVS dans le Cycle de Vie des Développements 15 Geneva Application Security Forum 4 mars 2010
  • 16. Les 14 familles d’exigences V1. Architecture sécurisée V9. Protection des données V2. Authentification V10. Sécurité des voies de V3. Gestion de Sessions communications V4. Contrôle d'accès V11. Sécurité de HTTP V5. Validations des entrées V12. Configuration de la V6. Encodage et sécurité échappement des sorties V13. Recherche de codes V7. Cryptographie malicieux V8. Gestion des erreurs et V14. Sécurité interne de la journalisation 16 Geneva Application Security Forum 4 mars 2010
  • 17. Authentification « Les exigences de vérification d'authentification définissent un ensemble d'exigences pour générer et gérer les jetons d'authentification utilisateur de manière sûre » 17 Geneva Application Security Forum 4 mars 2010
  • 18. Authentification 18 Geneva Application Security Forum 4 mars 2010
  • 19. Authentification 19 Geneva Application Security Forum 4 mars 2010
  • 20. Gestion des sessions « Les exigences de vérification de gestion des sessions, définissent un ensemble d'exigences pour utiliser de manière sûre : requêtes HTTP, réponses, sessions, cookies, en-têtes (headers) et la journalisation de sorte à gérer les sessions correctement. Le tableau ci-dessous définit les exigences de vérification correspondantes s'appliquant aux quatre niveaux de vérification » 20 Geneva Application Security Forum 4 mars 2010
  • 21. Gestion des sessions 21 Geneva Application Security Forum 4 mars 2010
  • 22. Gestion des sessions 22 Geneva Application Security Forum 4 mars 2010
  • 23. Contrôle d’accès « Ces exigences définissent les points requis de vérification de contrôles d'accès pour les URLs, les fonctionnalités commerciales, les données, les services ainsi que les fichiers. Le tableau ci-dessous définit les exigences de vérification correspondantes qui s'appliquent pour chacun des quatre niveaux de vérification » 23 Geneva Application Security Forum 4 mars 2010
  • 24. Contrôle d’accès 24 Geneva Application Security Forum 4 mars 2010
  • 25. Contrôle d’accès 25 Geneva Application Security Forum 4 mars 2010