Présentation Top10 CEGID Lyon
-
Upload
sebastien-gioria -
Category
Technology
-
view
323 -
download
0
Transcript of Présentation Top10 CEGID Lyon
![Page 1: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/1.jpg)
Copyright © 2009 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundationhttp://www.owasp.org
Sébastien GIORIA ([email protected])French Chapter Leader
La sécurité des applications Web
CEGID - Lyon12 Juin 2009
![Page 2: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/2.jpg)
Qui suis-je ?
12 ans d’expérience en Sécurité des Systèmes d’Information
Différents postes de manager SSI dans la banque, l’assurance et les télécoms
Expertise Technique Gestion du risque, Architectures fonctionnelles,
Audits Consulting et Formation en Réseaux et Sécurité PenTesting, Digital Forensics
President du CLUSIR Poitou-Charentes, OWASP France Leader & évangeliste
Domaines de prédilection : Web 4.2 : WebServices, Interfaces Riches (Flex, Air,
Silverlight, …), Insécurité du Web.
![Page 3: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/3.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités L’OWASP Les failles les plus courantes Et après ?
![Page 4: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/4.jpg)
© 2009 - S.Gioria & OWASP
Le constat actuel
La sécurité aujourd’hui Niveau 1 : Le cable Niveau 2 : VLAN Niveau 3 : Liste de contrôle
d’accès Niveau 4 à 7 : Firewall, Proxy, IDS,
IPS L’Insécurité aujourd’hui
Niveau 8 : L’humain, l’utilisateur
Thank YouGoogle Trends Data for:
l Buffer overflowl XSS
Le système d’information s’ouvre : Architectures orientées
services (SAAS, WebServices, ...)
Intégration de partenaires « Multi-play/multi-canal » :
Internet, Téléphone, Mail, Vidéo, …
![Page 5: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/5.jpg)
© 2009 - S.Gioria & OWASP
Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ?
1. Recevoir un mail du PDG ou d’un client a propos d’un bug ?
2. Recevoir un avis de sécurité du CERT ?3. Vérifier lors de la phase de pré-production
la sécurité4. L’ignorance permet de bien dormir5. 42, c’est la réponse universelle.
![Page 6: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/6.jpg)
© 2009 - S.Gioria & OWASP
Faiblesse des applications Web
75 %
90 %
25 %
10 %
% Attaques % Dépenses
D’après une étude du GARTNER75% des attaques ciblent le niveau Applicatif33% des applications web sont vulnérables
Application Web
Eléments Réseaux
![Page 7: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/7.jpg)
© 2009 - S.Gioria & OWASP
Je suis protégé contre les attaques, j’ai un firewall
7
![Page 8: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/8.jpg)
© 2009 - S.Gioria & OWASP
Mon site Web est sécurisé puisque il est protégé par SSL
8
![Page 9: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/9.jpg)
© 2009 - S.Gioria & OWASP
Seuls des génies de l’informatique savent exploiter les failles des applications Web
9
Les outils sont de plus en plus simples d’emploi
Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.
L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain.
![Page 10: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/10.jpg)
© 2009 - S.Gioria & OWASP
Une faille sur une application interne n’est pas importante
De part l’importance du web actuellement, cela peut être catastrophique.
Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de
l’utilisateur (utilisation d’AJAX)La faille de clickjacking permet de générer des
requêtes à l’insu de l’utilisateur
10
Le pirate se trouve alors dans le réseau local….
![Page 11: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/11.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités L’OWASP Les failles les plus courantes Et après ?
![Page 12: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/12.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria && OWASP
L’OWASP (Open Web Application Security
Project) Indépendant des fournisseurs et des gouvernements.
Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.
Touts les documents, standards, outils sont fournis sur la base du modèle open-source. Organisation : Réunion d’experts
indépendants en sécurité informatique
Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous
En France : une Association.
Le point d’entrée est le wiki http://www.owasp.org
![Page 13: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/13.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP
OWASP en FranceUn Conseil d’Administration (Association loi 1901) :
Président, évangéliste et relations publiques : Sébastien Gioria
Consultant indépendant en sécurité des systèmes d’informations. Président du CLUSIR Poitou-Charentes
Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR
Secrétaire et Responsable des aspects Juridiques : Estelle Aimé. Avocate
Un Bureau :
Le Conseil d’Administration
Romain Gaucher : Ex-chercheur au NIST, consultant chez Cigital
Mathieu Estrade : Développeur Apache.
Projets : Top 10 : traduit. Guides : en cours. Questionnaire a destination
des RSSI : en cours. Groupe de travail de la
sécurité applicative du CLUSIF
Interventions : Infosecurity OSSIR Microsoft TechDays PCI-Global CERT-IST
Sensibilisation / Formations : Assurance (Java/PHP) Société d’EDI (JAVA) Opérateur Téléphonie mobile
(PHP/WebServices) Ministère de l’intérieur – SGDN Conférences dans des écoles Ministère de la santé
![Page 14: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/14.jpg)
© 2009 - S.Gioria & OWASP
Les outils de l’OWASP
18
![Page 15: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/15.jpg)
© 2009 - S.Gioria & OWASP
Les publications Toutes les publications sont disponibles sur
le site de l’OWASP: http://www.owasp.org L’ensemble des documents est régi par la
licence GFDL (GNU Free Documentation License)
Les publications majeures : Le TOP 10 des vulnérabilités applicatives Le Guide de l’auditeur/du testeur Le Code Review Guide Le guide de conception d’applications
Web sécurisées La FAQ de l’insécurité des Applications
Web.
![Page 16: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/16.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités L’OWASP Les failles les plus courantes Et après ?
![Page 17: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/17.jpg)
© 2009 - S.Gioria & OWASP
Le Top10 2007
17
www.owasp.org/index.php?title=Top_10_2007
![Page 18: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/18.jpg)
© 2009 - S.Gioria & OWASP
A5 - Attaque CSRF
(1) L’utilisateur se rend sur un forum annodin(2) Une iframe embarquée sur le forum demande
au navigateur d'exécuter une requete sur un autre serveur
(3) Le mot de passe est changé
![Page 19: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/19.jpg)
© 2009 - S.Gioria & OWASP
A7 – Violation de Session ou d’authentification
![Page 20: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/20.jpg)
© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités L’OWASP Les failles les plus courantes Et après ?
![Page 21: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/21.jpg)
© 2009 - S.Gioria & OWASP
OWASP Enterprise Security API (ESAPI)
Un framework de sécurité pour les développeurs
Permettre de créer une application Web Sécurisée
Classes Java et .NET Disponible sur le site
de l’OWASP
![Page 22: Présentation Top10 CEGID Lyon](https://reader035.fdocuments.in/reader035/viewer/2022062307/556204c1d8b42a2a488b5827/html5/thumbnails/22.jpg)
© 2009 - S.Gioria & OWASP
Pas de recette Miracle
Mettre en place un cycle de développement sécurisé !
Auditer et Tester son code ! Vérifier le fonctionnement de son
Application !
La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain