Présentation Top10 CEGID Lyon

Eagle42 1,149 views 22 slides Mar 04, 2014
Slide 1
Slide 1 of 22
Slide 1
1
Slide 2
2
Slide 3
3
Slide 4
4
Slide 5
5
Slide 6
6
Slide 7
7
Slide 8
8
Slide 9
9
Slide 10
10
Slide 11
11
Slide 12
12
Slide 13
13
Slide 14
14
Slide 15
15
Slide 16
16
Slide 17
17
Slide 18
18
Slide 19
19
Slide 20
20
Slide 21
21
Slide 22
22

About This Presentation

No description available for this slideshow.

Size: 1.88 MB
Language: fr
Added: Mar 04, 2014
Slides: 22 pages

Slide Content

Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org Sébastien GIORIA ( sebastien.gioria@owasp .org ) French Chapter Leader La sécurité des applications Web CEGID - Lyon 12 Juin 2009

Qui suis -je ? 12 ans d’expérience en Sécurité des Systèmes d’Information Différents postes de manager SSI dans la banque , l’assurance et les télécoms Expertise Technique Gestion du risque, Architectures fonctionnelles, Audits Consulting et Formation en Réseaux et Sécurité PenTesting , Digital Forensics President du CLUSIR Poitou-Charentes, OWASP France Leader & évangeliste sebastien.gioria@owasp .org Domaines de prédilection : Web 4.2 : WebServices , Interfaces Riches ( Flex , Air, Silverlight , …), Insécurité du Web.

© 2009 - S.Gioria & OWASP Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ?

Le constat actuel La sécurité aujourd’hui Niveau 1 : Le cable Niveau 2 : VLAN Niveau 3 : Liste de contrôle d’accès Niveau 4 à 7 : Firewall, Proxy, IDS, IPS L’Insécurité aujourd’hui Niveau 8 : L’humain, l’utilisateur Thank You Google Trends Data for: l Buffer overflow l XSS Le système d’information s’ouvre : Architectures orientées services (SAAS, WebServices, ...) Intégration de partenaires « Multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, …

Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ? Recevoir un mail du PDG ou d’un client a propos d’un bug ? Recevoir un avis de sécurité du CERT ? Vérifier lors de la phase de pré-production la sécurité L’ignorance permet de bien dormir 42, c’est la réponse universelle.

Faiblesse des applications Web 75 % 90 % 25 % 10 % % Attaques % Dépenses D’après une étude du GARTNER 75% des attaques ciblent le niveau Applicatif 33% des applications web sont vulnérables Application Web Eléments Réseaux

 Je suis protégé contre les attaques, j’ai un firewall 7

Mon site Web est sécurisé puisque il est protégé par SSL 8

Seuls des génies de l’informatique savent exploiter les failles des applications Web 9 Les outils sont de plus en plus simples d’emploi Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données. L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain.

Une faille sur une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur 10 Le pirate se trouve alors dans le réseau local….

© 2009 - S.Gioria & OWASP Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ?

© 2009 - S.Gioria && OWASP L’OWASP (Open Web Application Security Project) Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative. Touts les documents, standards, outils sont fournis sur la base du modèle open-source. Organisation : Réunion d’experts indépendants en sécurité informatique Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous En France : une Association. Le point d’entrée est le wiki http://www.owasp.org

© 2009 - S.Gioria & OWASP OWASP en France Un Conseil d’Administration (Association loi 1901) : Président , évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmes d’informations . Président du CLUSIR Poitou-Charentes Vice- Président et responsable du projet de Traduction : Ludovic Petit . Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques : Estelle Aimé . Avocate Un Bureau : Le Conseil d’Administration Romain Gaucher : Ex- chercheur au NIST, consultant chez Cigital Mathieu Estrade : Développeur Apache. Projets : Top 10 : traduit . Guides : en cours . Questionnaire a destination des RSSI : en cours . Groupe de travail de la sécurité applicative du CLUSIF Interventions : Infosecurity OSSIR Microsoft TechDays PCI - Global CERT-IST Sensibilisation / Formations : Assurance (Java/PHP) Société d’EDI (JAVA) Opérateur Téléphonie mobile ( PHP/ WebServices ) Ministère de l’intérieur – SGDN Conférences dans des écoles Ministère de la santé

Les outils de l’OWASP 18

Les publications Toutes les publications sont disponibles sur le site de l’OWASP : http://www.owasp.org L’ensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les publications majeures : Le TOP 10 des vulnérabilités applicatives Le Guide de l’auditeur /du testeur Le Code Review Guide Le guide de conception d’applications Web sécurisées La FAQ de l’insécurité des Applications Web.

© 2009 - S.Gioria & OWASP Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ?

Le Top10 2007 17 www.owasp.org/index.php?title=Top_10_2007

A5 - Attaque CSRF L’utilisateur se rend sur un forum annodin Une iframe embarquée sur le forum demande au navigateur d'exécuter une requete sur un autre serveur Le mot de passe est changé

A7 – Violation de Session ou d’authentification

© 2009 - S.Gioria & OWASP Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ?

OWASP Enterprise Security API (ESAPI) Un framework de sécurité pour les développeurs Permettre de créer une application Web Sécurisée Classes Java et .NET Disponible sur le site de l’OWASP

Pas de recette Miracle Mettre en place un cycle de développement sécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain
Tags
Categories
General
Download
Download Slideshow Get the original presentation file
Quick Actions
Statistics
  • Views 1,149
  • Slides 22
  • Favorites 1
  • Age 4290 days
Related Slideshows
Pray For The Peace Of Jerusalem and You Will Prosper 22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
30 views
Don_t_Waste_Your_Life_God.....powerpoint 26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
32 views
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf 31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
30 views
Fertility awareness methods for women in the society 14
Fertility awareness methods for women in the society
Isaiah47
29 views
Chapter 5 Arithmetic Functions Computer Organisation and Architecture 35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
26 views
syakira bhasa inggris (1) (1).pptx....... 5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
28 views
View More in This Category