SlideShare ist ein Scribd-Unternehmen logo

OWASP Top10 2013 - Présentation aux RSSIA 2013

Sébastien GIORIA
Sébastien GIORIA

Présentation autour du Top10 2013 de l'OWASP aux RSSIA de Bordeaux au CLUSIR Aquitaine

Technologie
1 von 86
Downloaden Sie, um offline zu lesen
Et  pour  quelques  lignes  de  code  sécurisé   (oubliées...) RSSIA  -­‐  Bordeaux 21  Juin  2013 Sébas&en  Gioria SebasCen.Gioria@owasp.org Chapter  Leader  OWASP  France Friday, June 21, 13
http://www.google.fr/#q=sebastien gioria ‣OWASP France Leader & Founder & Evangelist ‣Application Security freelance consultant. Twitter :@SPoint / @OWASP_France 2 ‣Application Security group leader for the CLUSIF ‣Proud father of youngs kids trying to hack my digital life. Ne  vous  inquietez  pas  c’est  le  seul  slide  en  anglais,  par  contre  il  y  aura  des  trucs  d’écrits  partout  en  bas... Friday, June 21, 13
Agenda • Remise  a  plat  du  problème • Quelques  exemples  récents • Pour  aller  plus  loin   • L’écosystème  OWASP 3Déja  je  remercie  Hervé,  car  graçe  a  lui,  je  me  suis  levé  de  bonne  heure.... Friday, June 21, 13
Jeu  1   4 ????? Friday, June 21, 13
Jeu  2   5 ???? un  indice  :  c’est  a  la  mode..... Friday, June 21, 13
Jeu  3   6 ? Friday, June 21, 13
Jeu  3   6 ? Friday, June 21, 13
Jeu  4  ?   7 ???? Moi  j’aurai  pas  confiance  a  filer  mes  idenCfiants  a  des  gens  Cers.... Friday, June 21, 13
Game  Over.... • Un  Téléphone  VoIP  ?   • Une  {Free  ı  B  ı  Live  ı  SFR  ı  *  }  box  ? • Des  applicaCons  sur  des  ordiphones  ?   • Clients  ?  partenaires  sur    Internet  ? 8Ah....j’ai  réussi  a  le  caser  ce  mot...I? Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9 Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer vLa  plupart  des  sites-­‐web  sont  vulnérables  a  des  aoaques vUne   part   importante   du   business   est   effectué   via   des   applicaCons   Web   (Services,  e-­‐commerce,  Telcos,  SCADA,  ...) Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
10 (c)  WhiteHatSecurity  2013 Friday, June 21, 13
11 (c)  WhiteHatSecurity  2013 Friday, June 21, 13
11 (c)  WhiteHatSecurity  2013 Friday, June 21, 13
11 (c)  WhiteHatSecurity  2013 Friday, June 21, 13
11 (c)  WhiteHatSecurity  2013 Friday, June 21, 13
Quelques  exemples  récents 12 Friday, June 21, 13
‘OR  1==1  -­‐-­‐’ 13 Friday, June 21, 13
‘OR  1==1  -­‐-­‐’ 13 Friday, June 21, 13
‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... A1   Injec&on  de   données   serveur Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
<script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... A3   Cross  Site   Scrip&ng Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. A2   viola&on  de   session   et/ou   d’authen&fi ca&on Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Surf  the  Web Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
CSRF  démysCfié • Le  problème – Les  navigateurs  Web  incluent  automaCquement  la  plupart  des  idenCfiants  dans  chaque   requête. – Que  cela  soit  des  requêtes  venant  d’un  formulaire,  d’une  image  ou  d’un  autre  site. • Tous  les  sites  basés  uniquement  sur  les  idenCfiants  automaCques   sont  vulnérables – ApproximaCvement  100%  des  sites  le  sont… • C’est  quoi  un  idenCfiant  automaCque? – Cookie  de  session – Une  entête  d’authenCficaCon  HTTP – Une  adresse  IP – Les  cerCficats  SSL  client – L’authenCficaCon  de  domaine  Windows. Friday, June 21, 13
CSRF  ?   18injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. A8 Cross  Site   Request   Forgery injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
site:gouv.fr.... 19 Friday, June 21, 13
site:gouv.fr.... 19 Friday, June 21, 13
site:gouv.fr.... 19 Friday, June 21, 13
site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes A5   Mauvaise   config   sécurité Friday, June 21, 13
Qu’est-­‐ce  qu’un  risque  de  sécurité   applicaCf? 20La  c’etait  le  slide  qui  tue Friday, June 21, 13
OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues Friday, June 21, 13
OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
Pour  aller  plus  loin 22 Friday, June 21, 13
23 Friday, June 21, 13
23 Apprendre Friday, June 21, 13
23 Apprendre Friday, June 21, 13
23 Apprendre Contractualiser Friday, June 21, 13
23 Apprendre Contractualiser Friday, June 21, 13
23 Apprendre Contractualiser Concevoir Friday, June 21, 13
23 Apprendre Contractualiser Concevoir Friday, June 21, 13
23 Apprendre Contractualiser Concevoir Coder Friday, June 21, 13
23 Apprendre Contractualiser Concevoir Coder Friday, June 21, 13
23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
 NEWS A  BLOG A  PODCAST MEMBERSHIPS MAILING  LISTS A  NEWSLETTER APPLE  APP  STORE VIDEO  TUTORIALS TRAINING  SESSIONS SOCIAL  NETWORKING 24 Friday, June 21, 13
Dates • OWASP  EU  Tour  2013  :   –24  Juin  -­‐  Sophia  AnCpolis –25  Juin  -­‐  Geneve • Java  User  Group  Poitou  Charentes    -­‐  Niort  :  27  Juin –Secure  Coding  for  Java   • AppSec  Research  Europe  2013  :  20/23  Aout  –   Hambourg  –  Allemagne •  OWASP  Benelux  :  28/29  Novembre  2013 25 Friday, June 21, 13
Soutenir  l’OWASP • Différentes  soluCons  :   –Membre  Individuel  :  50  $ –Membre  Entreprise  :  5000  $ –DonaCon  Libre • Soutenir  uniquement    le  chapitre  France  : –Single  MeeCng  supporter   • Nous  offrir  une  salle  de  meeCng  !   • ParCciper  par  un  talk  ou  autre  !   • DonaCon  simple   –Local  Chapter  supporter  :   • 500  $  à  2000  $   26 Friday, June 21, 13
Prochains  meeCngs • Septembre  2013   –Salle  :  Mozilla  Center  Paris –Speaker  :   • Security  on  Firefox  OS • A  définir • Novembre  2013 –Salle  :  a  définir –Speaker  :  a  définir Friday, June 21, 13
License 28 @SPoint sebasCen.gioria@owasp.org Friday, June 21, 13

Empfohlen

2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 

Empfohlen

2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-OuestSébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
Dispositivos De Entrada
Dispositivos De EntradaDispositivos De Entrada
Dispositivos De EntradaJuan Carlos Orobio Cortes
 

Weitere ähnliche Inhalte

Was ist angesagt?

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 

Was ist angesagt? (19)

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 

Andere mochten auch

Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Curs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheetsCurs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheetsAlex Araujo
 
La Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughtiesLa Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughtiesNé Kid
 
La Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeurLa Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeurNé Kid
 
23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa 23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa Yves Le Masne
 
Reflexiones finales
Reflexiones finalesReflexiones finales
Reflexiones finalesLambrina
 
G U I L L E RM O
G U I L L E RM OG U I L L E RM O
G U I L L E RM Opunkilove
 
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOSLAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOSCarola68
 
Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...Aqcidependance
 
WUD 2009 Paris : Introduction
WUD 2009 Paris : IntroductionWUD 2009 Paris : Introduction
WUD 2009 Paris : IntroductionFrederic CAVAZZA
 
GSmart Certs Part 1
GSmart Certs Part 1GSmart Certs Part 1
GSmart Certs Part 1Graham Smart
 

Andere mochten auch (20)

Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Dispositivos De Entrada
Dispositivos De EntradaDispositivos De Entrada
Dispositivos De Entrada
 
Angelee
AngeleeAngelee
Angelee
 
Generación Y
Generación YGeneración Y
Generación Y
 
Curs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheetsCurs Ofimàtica 2004-2005. Bloc OOSheets
Curs Ofimàtica 2004-2005. Bloc OOSheets
 
La Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughtiesLa Veille de Né Kid du 16 12 09 : naughty noughties
La Veille de Né Kid du 16 12 09 : naughty noughties
 
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
Uicn forum régional sur la conservation - paco 2015 - rapport jour 2 by cec...
 
La Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeurLa Veille De Né Kid du 10 01 27 : la rumeur
La Veille De Né Kid du 10 01 27 : la rumeur
 
23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa 23/09/2015 - Communiqué de presse Orpéa
23/09/2015 - Communiqué de presse Orpéa
 
Reflexiones finales
Reflexiones finalesReflexiones finales
Reflexiones finales
 
G U I L L E RM O
G U I L L E RM OG U I L L E RM O
G U I L L E RM O
 
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOSLAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
LAS TIC EN EL APRENDIZAJE DE LOS ALUMNOS
 
Victor Hugo
Victor HugoVictor Hugo
Victor Hugo
 
Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...Projet de recension des programmes de prévention en dépendance pour les jeune...
Projet de recension des programmes de prévention en dépendance pour les jeune...
 
Club digital
Club digitalClub digital
Club digital
 
Test jehova
Test jehovaTest jehova
Test jehova
 
WUD 2009 Paris : Introduction
WUD 2009 Paris : IntroductionWUD 2009 Paris : Introduction
WUD 2009 Paris : Introduction
 
Mundo CláSico
Mundo CláSicoMundo CláSico
Mundo CláSico
 
GSmart Certs Part 1
GSmart Certs Part 1GSmart Certs Part 1
GSmart Certs Part 1
 

Ähnlich wie OWASP Top10 2013 - Présentation aux RSSIA 2013

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
Sauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobilesSauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobilespprem
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Lisa Lombardi
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Atelier Numérique - Protection des données
Atelier Numérique - Protection des donnéesAtelier Numérique - Protection des données
Atelier Numérique - Protection des donnéesEmmanuelle Pretseille
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONJUNIOR SORO
 
Les Outils de l'Agile
Les Outils de l'AgileLes Outils de l'Agile
Les Outils de l'Agilearagot1
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
meetup devops 2023-06-15
meetup devops 2023-06-15meetup devops 2023-06-15
meetup devops 2023-06-15Frederic Leger
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachjean-yves Trarbach
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail LibreLINAGORA
 

Ähnlich wie OWASP Top10 2013 - Présentation aux RSSIA 2013 (20)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Sauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobilesSauvegarder et restaurer l'état des applications mobiles
Sauvegarder et restaurer l'état des applications mobiles
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Atelier Numérique - Protection des données
Atelier Numérique - Protection des donnéesAtelier Numérique - Protection des données
Atelier Numérique - Protection des données
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
 
Les Outils de l'Agile
Les Outils de l'AgileLes Outils de l'Agile
Les Outils de l'Agile
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
meetup devops 2023-06-15
meetup devops 2023-06-15meetup devops 2023-06-15
meetup devops 2023-06-15
 
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbachM365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
M365 virtualmarathon gestion des pc windows 10 - l gebeau - jy trarbach
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail Libre
 

Mehr von Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Sébastien GIORIA
 

Mehr von Sébastien GIORIA (17)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

OWASP Top10 2013 - Présentation aux RSSIA 2013

  • 1. Et  pour  quelques  lignes  de  code  sécurisé   (oubliées...) RSSIA  -­‐  Bordeaux 21  Juin  2013 Sébas&en  Gioria SebasCen.Gioria@owasp.org Chapter  Leader  OWASP  France Friday, June 21, 13
  • 2. http://www.google.fr/#q=sebastien gioria ‣OWASP France Leader & Founder & Evangelist ‣Application Security freelance consultant. Twitter :@SPoint / @OWASP_France 2 ‣Application Security group leader for the CLUSIF ‣Proud father of youngs kids trying to hack my digital life. Ne  vous  inquietez  pas  c’est  le  seul  slide  en  anglais,  par  contre  il  y  aura  des  trucs  d’écrits  partout  en  bas... Friday, June 21, 13
  • 3. Agenda • Remise  a  plat  du  problème • Quelques  exemples  récents • Pour  aller  plus  loin   • L’écosystème  OWASP 3Déja  je  remercie  Hervé,  car  graçe  a  lui,  je  me  suis  levé  de  bonne  heure.... Friday, June 21, 13
  • 5. Jeu  2   5 ???? un  indice  :  c’est  a  la  mode..... Friday, June 21, 13
  • 8. Jeu  4  ?   7 ???? Moi  j’aurai  pas  confiance  a  filer  mes  idenCfiants  a  des  gens  Cers.... Friday, June 21, 13
  • 9. Game  Over.... • Un  Téléphone  VoIP  ?   • Une  {Free  ı  B  ı  Live  ı  SFR  ı  *  }  box  ? • Des  applicaCons  sur  des  ordiphones  ?   • Clients  ?  partenaires  sur    Internet  ? 8Ah....j’ai  réussi  a  le  caser  ce  mot...I? Friday, June 21, 13
  • 10. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 11. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
  • 12. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  l’  AnCvirus 9 Friday, June 21, 13
  • 13. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 14. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
  • 15. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la     sécurité   périmétrique 9 Friday, June 21, 13
  • 16. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   9 Friday, June 21, 13
  • 17. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9 Friday, June 21, 13
  • 18. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
  • 19. Nous  vivons  dans  un  environnement  fortement  digital,  connecté   en  quasi-­‐permanence  au  monde  enCer vLa  plupart  des  sites-­‐web  sont  vulnérables  a  des  aoaques vUne   part   importante   du   business   est   effectué   via   des   applicaCons   Web   (Services,  e-­‐commerce,  Telcos,  SCADA,  ...) Sécurité  ApplicaCve  ?   Age  de  la  sécurité   applicaCve 9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....” Friday, June 21, 13
  • 28. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
  • 29. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... Friday, June 21, 13
  • 30. ‘OR  1==1  -­‐-­‐’ 13 L’injecCon  SQL  fait  beaucoup  parler  d’elle.   Mais  il  existe  d’autres  formes  d’injecCons  :   •XML •XPath •LDAP •ORB(Hibernate) •... A1   Injec&on  de   données   serveur Friday, June 21, 13
  • 31. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 32. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 33. <script>alert(/XSS/);</script> 14 Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 34. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 35. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 36. <script>alert(/XSS/);</script> 14 Le  Cross  Site  ScripCng  est  souvent  mal   considéré.  Sa  puissance  peut  aller  jusqu’a  la   prise  de  contrôle  sur  le  poste  client... A3   Cross  Site   Scrip&ng Vous  préférez  InjecCon  de  code  indirect  ? Friday, June 21, 13
  • 37. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
  • 38. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Friday, June 21, 13
  • 39. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
  • 40. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. Friday, June 21, 13
  • 41. Vous  reprendrez  bien  un  peu  de  cookie  ? 15 Les développeurs peuvent être tentés de créer leur propre gestionnaire de sessions et d'authentification, mais il s'agit d'une tâche complexe. Il en résulte souvent des implémentations contenant des faiblesses de sécurité dans des fonctions telles que: la déconnexion, la gestion des profils, etc. La a diversité des implémentations rend la recherche de vulnérabilités complexe. A2   viola&on  de   session   et/ou   d’authen&fi ca&on Friday, June 21, 13
  • 42. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 43. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 44. Que  se  passe-­‐t-­‐il  ? 16 Friday, June 21, 13
  • 45. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 46. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 47. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Surf  the  Web Friday, June 21, 13
  • 48. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 49. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 50. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 51. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 52. Que  se  passe-­‐t-­‐il  ? 16 Session  authen&fiée Friday, June 21, 13
  • 53. CSRF  démysCfié • Le  problème – Les  navigateurs  Web  incluent  automaCquement  la  plupart  des  idenCfiants  dans  chaque   requête. – Que  cela  soit  des  requêtes  venant  d’un  formulaire,  d’une  image  ou  d’un  autre  site. • Tous  les  sites  basés  uniquement  sur  les  idenCfiants  automaCques   sont  vulnérables – ApproximaCvement  100%  des  sites  le  sont… • C’est  quoi  un  idenCfiant  automaCque? – Cookie  de  session – Une  entête  d’authenCficaCon  HTTP – Une  adresse  IP – Les  cerCficats  SSL  client – L’authenCficaCon  de  domaine  Windows. Friday, June 21, 13
  • 54. CSRF  ?   18injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 55. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 56. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 57. CSRF  ?   18 L’attaquant forge une requête HTTP et amène une victime à la soumettre via une balise d’image, XSS, ou de nombreuses autres techniques. Si l’utilisateur est authentifié , l’attaque est un succès. A8 Cross  Site   Request   Forgery injections de requêtes illégitimes par rebond pour la vrai terminologie Friday, June 21, 13
  • 61. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
  • 62. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes Friday, June 21, 13
  • 63. site:gouv.fr.... 19 Une  simple  recherche  google  permet  d’avoir  accès  a   des  documents  confidenCels  ou   internes A5   Mauvaise   config   sécurité Friday, June 21, 13
  • 64. Qu’est-­‐ce  qu’un  risque  de  sécurité   applicaCf? 20La  c’etait  le  slide  qui  tue Friday, June 21, 13
  • 65. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues Friday, June 21, 13
  • 66. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
  • 67. OWASP  Top10  2013 21 A1:  Injec&on A2:  Viola&on  de   Ges&on   d’authen&fica&on  et   de  session A3:  Cross  Site   Scrip&ng  (XSS) A4:Référence  directe   non  sécurisée  à  un   objet A5:  Mauvaise   configura&on  sécurité   A6  :  Exposi&on  de   données  sensibles A8:  Cross  Site  Request   Forgery  (CSRF)   A10:    Redirec&ons    et   transferts  non  validés A7:  Manque  de   contrôle  d’accès   fonc&onnel A9:  U&lisa&on  de   composants  avec  des   vulnérabilités  connues ex-­‐A9(transport  non  sécurisé)   +  A7(Stockage  crypto) Friday, June 21, 13
  • 68. Pour  aller  plus  loin 22 Friday, June 21, 13
  • 78. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
  • 79. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir Coder Friday, June 21, 13
  • 80. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
  • 81. 23 Apprendre Contractualiser Tester  et  vérifier Concevoir AméliorerCoder Friday, June 21, 13
  • 82.  NEWS A  BLOG A  PODCAST MEMBERSHIPS MAILING  LISTS A  NEWSLETTER APPLE  APP  STORE VIDEO  TUTORIALS TRAINING  SESSIONS SOCIAL  NETWORKING 24 Friday, June 21, 13
  • 83. Dates • OWASP  EU  Tour  2013  :   –24  Juin  -­‐  Sophia  AnCpolis –25  Juin  -­‐  Geneve • Java  User  Group  Poitou  Charentes    -­‐  Niort  :  27  Juin –Secure  Coding  for  Java   • AppSec  Research  Europe  2013  :  20/23  Aout  –   Hambourg  –  Allemagne •  OWASP  Benelux  :  28/29  Novembre  2013 25 Friday, June 21, 13
  • 84. Soutenir  l’OWASP • Différentes  soluCons  :   –Membre  Individuel  :  50  $ –Membre  Entreprise  :  5000  $ –DonaCon  Libre • Soutenir  uniquement    le  chapitre  France  : –Single  MeeCng  supporter   • Nous  offrir  une  salle  de  meeCng  !   • ParCciper  par  un  talk  ou  autre  !   • DonaCon  simple   –Local  Chapter  supporter  :   • 500  $  à  2000  $   26 Friday, June 21, 13
  • 85. Prochains  meeCngs • Septembre  2013   –Salle  :  Mozilla  Center  Paris –Speaker  :   • Security  on  Firefox  OS • A  définir • Novembre  2013 –Salle  :  a  définir –Speaker  :  a  définir Friday, June 21, 13