SlideShare ist ein Scribd-Unternehmen logo

2013 03-01 automatiser les tests sécurité

Sébastien GIORIA
Sébastien GIORIA
Technologie
1 von 54
Downloaden Sie, um offline zu lesen
Automa'ser  les  tests  sécurité  Web Sébas'en  Gioria OWASP  France  Leader   OWASP  Global  Educa'on  Commi<ee CONFOO-­‐  1  Mars  2013  -­‐  Montréal  -­‐  Canada Saturday, March 2, 13
http://www.google.fr/#q=sebastien gioria ‣Consultant Indépendant en Sécurité Applicative ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPoint Saturday, March 2, 13 2
O-­‐ou-­‐a-­‐ss-­‐pe? • OWASP  =  Open  Web  Applica6on  Security  Project – Il  y  a  le  mot  “web”  mais  en  fait  … • Mission: – Global,  ouvert,  non  lucra6f,  indépendant. • Communauté  OWASP: – 30,000  abonnés  aux  listes  de  diffusion   – 200  sec6ons  régionales  ac6ves  dans  70  pays – 1’600  membres  officiels,  56  entreprises  partenaires – 69  ins6tu6ons  académiques Saturday, March 2, 13
Saturday, March 2, 13
Saturday, March 2, 13
Apprendre Saturday, March 2, 13
Apprendre Saturday, March 2, 13
Apprendre Contractualiser Saturday, March 2, 13
Apprendre Contractualiser Saturday, March 2, 13
Apprendre Contractualiser Concevoir Saturday, March 2, 13
Apprendre Contractualiser Concevoir Saturday, March 2, 13
Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
Apprendre Contractualiser Concevoir Vérifier Tester Améliorer Saturday, March 2, 13
OWASP  Canada • Sec6ons  OWASP  au  Canada: – Alberta:  Edmonton  &  Lethbridge – Bri6sh  Columbia:  Okanagan  &  Vancouver – Manitoba:  Winnipeg – New  Brunswick:  New  Brunswick – Ontario:  Niagara,  Toronto,  Obawa – Quebec:  Montréal,  Quebec  city Saturday, March 2, 13
Agenda • Le  développement  et  la  sécurité • Les  différents  types  de  tests • Des  ou6ls • Comment  intégrer  ses  ou6ls  dans  sa  chaine 6 Saturday, March 2, 13
Contexte Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
Sécurité  &  Le  cycle  de   développement • Corriger  une  vulnérabilité  peut  couter  très  cher   Demandez  à  Microsoi   8 Saturday, March 2, 13
Sécurité  &  Le  cycle  de   développement • Et  demander  du  temps  !   Demandez  à  Oracle.... 9 Saturday, March 2, 13
Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? 12 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? 12 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   12 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on 12 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   12 Saturday, March 2, 13
Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   Quelle  technique  permet  de  répondre  le  mieux  à  l’une  ou  toutes  ses  ques6ons  ? ➡Revue  de  code  manuelle  ? ➡Test  d’intrusion  applica6f  manuel  ? 12 Saturday, March 2, 13
De  quoi  parle-­‐t-­‐on  ? 13 Saturday, March 2, 13
De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on 13 Saturday, March 2, 13
De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée 13 Saturday, March 2, 13
De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée L’u6lisa6on  d’ou6ls  permet  d’aider  la  réalisa6on  de  la  revue  ou  du  test 13 Saturday, March 2, 13
Evaluer  le  niveau  de  sécurité   d’une  applica6on  ?   • Référen'el  : –OWASP  Top10  ? • L’un  des  plus  connu,  orienté  Risques –SANS  Top25  ?   • Plus  orienté  Code –CWE  ? • Un  peu  trop  complexe  ? –OWASP  ASVS  ? • Plus  orienté  exigences  fonc6onnelles 14 Saturday, March 2, 13
15 Saturday, March 2, 13
Analyse  du  code • Avantages – Permet  de  voir  des  failles  non  détectées  par  un  test  de  type  test   d’intrusion – Permet  de  découvrir  des  problèmes  de  type  qualité  de  code  qui   conduiraient  à  des  abaques  DOS. – Les  ou6ls  commerciaux  sont  matures • Inconvénients – Les  ou6ls  open-­‐source  sont  très  immatures – Peut  être  long – Nécessite  des  compétences  pointues  en  développement  dans  le  langage   de  développement  couplées  à  des  compétences  sécurité. – Dans  le  cas  d’une  externalisa6on  de  l’analyse,  cebe  dernière  doit  être   fortement  encadrée 16 Saturday, March 2, 13
17 Saturday, March 2, 13
Tests  d  intrusions • Avantages –Les  compétences  sur  ce  type  de  démarche  sont  faciles  a   trouver –Il  existe  des  ou6ls  open-­‐sources  matures –Cela  permet  de  tester  l’ensemble  de  la  chaine  de   produc6on;  infrastructure  et  logiciel   • Inconvénients –Le  temps  impar6  est  souvent  trop  faible  pour  tout  découvrir –Le  test  peut  mener  à  une  destruc6on  de  données;  il  ne  doit   pas  être  effectuer  directement  sur  la  produc'on. –Il  ne  permet  pas  de  s’assurer  d’un  niveau  de  sécurité. 18 Saturday, March 2, 13
Les  ou6ls • Buts  :   –Améliorer  l’efficacité  des  tests   –Permebre  l’industrialisa6on  des  tests • Différentes  catégories  :   –Scanners  Web  ;  arachni,  w3af,  ... –Proxy  de  sécurité  ;  Burp  Suite,  Zap,  Vega –Modules  navigateurs  ;  Firecat,   –Ou6ls  spécifiques  ;  sqlmap,  ... 19 Saturday, March 2, 13
L’automa6sa6on   • Pour  automa6ser  les  tests  sécurité,  il  est   nécessaire  d’avoir  un  ou6l    :   –disposant  d’une  base  importante  de  tests  (ou   vulnérabilités) –permebant  de  gérer  différents  points  d’entrée,  voire   de  découverte  de  ces  points –permebant  de  générer  un  rapport  “compréhensible” –intégrable  et  scriptable  dans  un  environnement  de   “build” 20 Saturday, March 2, 13
W3AF hbp://w3af.org/ 21 Saturday, March 2, 13
Arachni hbp://arachni-­‐scanner.com/ 22 Saturday, March 2, 13
Hudson hbp://hudson-­‐ci.org/ 23 Saturday, March 2, 13
Démos 24 Saturday, March 2, 13
• @SPoint • sebas6en.gioria@owasp.org Saturday, March 2, 13
• @SPoint • sebas6en.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] Saturday, March 2, 13

Empfohlen

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 

Empfohlen

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-OuestSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offerryad_o
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Security testautomation
Security testautomationSecurity testautomation
Security testautomationLinkesh Kanna Velu
 

Weitere ähnliche Inhalte

Was ist angesagt?

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 

Was ist angesagt? (19)

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualité
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 

Andere mochten auch

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offerryad_o
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Como incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosComo incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosRecursos Cristianos. Org
 
Bac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieurBac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieur0596957s
 
27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamenteRecursos Cristianos. Org
 
E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?Yannick Bouvard
 
Meetup django-2012-06-14
Meetup django-2012-06-14Meetup django-2012-06-14
Meetup django-2012-06-14nautilebleu
 

Andere mochten auch (20)

Neolians testing offer
Neolians testing offerNeolians testing offer
Neolians testing offer
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Security testautomation
Security testautomationSecurity testautomation
Security testautomation
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Plaquette A4
Plaquette A4Plaquette A4
Plaquette A4
 
Cristianismo básico
Cristianismo básicoCristianismo básico
Cristianismo básico
 
Fotografias Tolerancia
Fotografias ToleranciaFotografias Tolerancia
Fotografias Tolerancia
 
ipb Les Marques Médias
ipb Les Marques Médiasipb Les Marques Médias
ipb Les Marques Médias
 
Como incrementar nuestra comunion con dios
Como incrementar nuestra comunion con diosComo incrementar nuestra comunion con dios
Como incrementar nuestra comunion con dios
 
Bac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieurBac pro réussir son orientation dans l'enseignement supérieur
Bac pro réussir son orientation dans l'enseignement supérieur
 
Les réseaux sociaux ffcld ségry 2012
Les réseaux sociaux ffcld ségry 2012Les réseaux sociaux ffcld ségry 2012
Les réseaux sociaux ffcld ségry 2012
 
Terminologia
TerminologiaTerminologia
Terminologia
 
27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente27 pasajes bíblicos que enseñan explícitamente
27 pasajes bíblicos que enseñan explícitamente
 
Ecotecnologias
EcotecnologiasEcotecnologias
Ecotecnologias
 
E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?E-réputation: quels sont les enjeux, les risques et les solutions ?
E-réputation: quels sont les enjeux, les risques et les solutions ?
 
Hacker
HackerHacker
Hacker
 
1 George
1 George1 George
1 George
 
Verdad
VerdadVerdad
Verdad
 
Meetup django-2012-06-14
Meetup django-2012-06-14Meetup django-2012-06-14
Meetup django-2012-06-14
 

Ähnlich wie 2013 03-01 automatiser les tests sécurité

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfJoelChouamou
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Ähnlich wie 2013 03-01 automatiser les tests sécurité (7)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

Mehr von Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Sébastien GIORIA
 

Mehr von Sébastien GIORIA (17)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

2013 03-01 automatiser les tests sécurité

  • 1. Automa'ser  les  tests  sécurité  Web Sébas'en  Gioria OWASP  France  Leader   OWASP  Global  Educa'on  Commi<ee CONFOO-­‐  1  Mars  2013  -­‐  Montréal  -­‐  Canada Saturday, March 2, 13
  • 2. http://www.google.fr/#q=sebastien gioria ‣Consultant Indépendant en Sécurité Applicative ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPoint Saturday, March 2, 13 2
  • 3. O-­‐ou-­‐a-­‐ss-­‐pe? • OWASP  =  Open  Web  Applica6on  Security  Project – Il  y  a  le  mot  “web”  mais  en  fait  … • Mission: – Global,  ouvert,  non  lucra6f,  indépendant. • Communauté  OWASP: – 30,000  abonnés  aux  listes  de  diffusion   – 200  sec6ons  régionales  ac6ves  dans  70  pays – 1’600  membres  officiels,  56  entreprises  partenaires – 69  ins6tu6ons  académiques Saturday, March 2, 13
  • 8. Apprendre Contractualiser Saturday, March 2, 13
  • 9. Apprendre Contractualiser Saturday, March 2, 13
  • 10. Apprendre Contractualiser Concevoir Saturday, March 2, 13
  • 11. Apprendre Contractualiser Concevoir Saturday, March 2, 13
  • 12. Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
  • 13. Apprendre Contractualiser Concevoir Vérifier Saturday, March 2, 13
  • 14. Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
  • 15. Apprendre Contractualiser Concevoir Vérifier Tester Saturday, March 2, 13
  • 16. Apprendre Contractualiser Concevoir Vérifier Tester Améliorer Saturday, March 2, 13
  • 17. OWASP  Canada • Sec6ons  OWASP  au  Canada: – Alberta:  Edmonton  &  Lethbridge – Bri6sh  Columbia:  Okanagan  &  Vancouver – Manitoba:  Winnipeg – New  Brunswick:  New  Brunswick – Ontario:  Niagara,  Toronto,  Obawa – Quebec:  Montréal,  Quebec  city Saturday, March 2, 13
  • 18. Agenda • Le  développement  et  la  sécurité • Les  différents  types  de  tests • Des  ou6ls • Comment  intégrer  ses  ou6ls  dans  sa  chaine 6 Saturday, March 2, 13
  • 19. Contexte Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 20. Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 21. Contexte • Les  applica6ons  Web  sont  fortement  exposées Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 22. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 23. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 24. Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexes Demandez  a  regarder  la  CVE.... © Verizon 7 Saturday, March 2, 13
  • 25. Sécurité  &  Le  cycle  de   développement • Corriger  une  vulnérabilité  peut  couter  très  cher   Demandez  à  Microsoi   8 Saturday, March 2, 13
  • 26. Sécurité  &  Le  cycle  de   développement • Et  demander  du  temps  !   Demandez  à  Oracle.... 9 Saturday, March 2, 13
  • 27. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 28. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 29. Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10 Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment.... Saturday, March 2, 13
  • 30. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
  • 31. Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11 Saturday, March 2, 13
  • 32. Pourquoi  chercher  des   vulnérabilités  ? 12 Saturday, March 2, 13
  • 33. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? 12 Saturday, March 2, 13
  • 34. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   12 Saturday, March 2, 13
  • 35. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on 12 Saturday, March 2, 13
  • 36. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   12 Saturday, March 2, 13
  • 37. Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   Quelle  technique  permet  de  répondre  le  mieux  à  l’une  ou  toutes  ses  ques6ons  ? ➡Revue  de  code  manuelle  ? ➡Test  d’intrusion  applica6f  manuel  ? 12 Saturday, March 2, 13
  • 38. De  quoi  parle-­‐t-­‐on  ? 13 Saturday, March 2, 13
  • 39. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on 13 Saturday, March 2, 13
  • 40. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée 13 Saturday, March 2, 13
  • 41. De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée L’u6lisa6on  d’ou6ls  permet  d’aider  la  réalisa6on  de  la  revue  ou  du  test 13 Saturday, March 2, 13
  • 42. Evaluer  le  niveau  de  sécurité   d’une  applica6on  ?   • Référen'el  : –OWASP  Top10  ? • L’un  des  plus  connu,  orienté  Risques –SANS  Top25  ?   • Plus  orienté  Code –CWE  ? • Un  peu  trop  complexe  ? –OWASP  ASVS  ? • Plus  orienté  exigences  fonc6onnelles 14 Saturday, March 2, 13
  • 44. Analyse  du  code • Avantages – Permet  de  voir  des  failles  non  détectées  par  un  test  de  type  test   d’intrusion – Permet  de  découvrir  des  problèmes  de  type  qualité  de  code  qui   conduiraient  à  des  abaques  DOS. – Les  ou6ls  commerciaux  sont  matures • Inconvénients – Les  ou6ls  open-­‐source  sont  très  immatures – Peut  être  long – Nécessite  des  compétences  pointues  en  développement  dans  le  langage   de  développement  couplées  à  des  compétences  sécurité. – Dans  le  cas  d’une  externalisa6on  de  l’analyse,  cebe  dernière  doit  être   fortement  encadrée 16 Saturday, March 2, 13
  • 46. Tests  d  intrusions • Avantages –Les  compétences  sur  ce  type  de  démarche  sont  faciles  a   trouver –Il  existe  des  ou6ls  open-­‐sources  matures –Cela  permet  de  tester  l’ensemble  de  la  chaine  de   produc6on;  infrastructure  et  logiciel   • Inconvénients –Le  temps  impar6  est  souvent  trop  faible  pour  tout  découvrir –Le  test  peut  mener  à  une  destruc6on  de  données;  il  ne  doit   pas  être  effectuer  directement  sur  la  produc'on. –Il  ne  permet  pas  de  s’assurer  d’un  niveau  de  sécurité. 18 Saturday, March 2, 13
  • 47. Les  ou6ls • Buts  :   –Améliorer  l’efficacité  des  tests   –Permebre  l’industrialisa6on  des  tests • Différentes  catégories  :   –Scanners  Web  ;  arachni,  w3af,  ... –Proxy  de  sécurité  ;  Burp  Suite,  Zap,  Vega –Modules  navigateurs  ;  Firecat,   –Ou6ls  spécifiques  ;  sqlmap,  ... 19 Saturday, March 2, 13
  • 48. L’automa6sa6on   • Pour  automa6ser  les  tests  sécurité,  il  est   nécessaire  d’avoir  un  ou6l    :   –disposant  d’une  base  importante  de  tests  (ou   vulnérabilités) –permebant  de  gérer  différents  points  d’entrée,  voire   de  découverte  de  ces  points –permebant  de  générer  un  rapport  “compréhensible” –intégrable  et  scriptable  dans  un  environnement  de   “build” 20 Saturday, March 2, 13
  • 49. W3AF hbp://w3af.org/ 21 Saturday, March 2, 13
  • 50. Arachni hbp://arachni-­‐scanner.com/ 22 Saturday, March 2, 13
  • 51. Hudson hbp://hudson-­‐ci.org/ 23 Saturday, March 2, 13
  • 52. Démos 24 Saturday, March 2, 13
  • 53. • @SPoint • sebas6en.gioria@owasp.org Saturday, March 2, 13
  • 54. • @SPoint • sebas6en.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] Saturday, March 2, 13