2010 - Intégration de l'authentification: les mesures proposées par OWASP

575 views
493 views

Published on

OWASP Application Security Verification Standard (ASVS)
Authentication Verification Requirements
Session Management Verification Requirements
Access Control Verification Requirements
Retour d'expérience

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
575
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2010 - Intégration de l'authentification: les mesures proposées par OWASP

  1. 1. Authentifications Gestion des Sessions Contrôle dAccès Le point de vue d OWASP ASVS (Application Security Verification Standard )Geneva Application Security Forum 4 mars 2010
  2. 2. Philippe Léothaud : chez BeeWare depuis 2003, dabord encharge de loffre Web SSO puis CTO depuis 2006Bee Ware : – éditeur dun WAF depuis 2001 – solution de WebSSO depuis 2003 – outil dApplication Security Assessment depuis 2005 – Gateway XML complète depuis 2007Aujourdhui, regroupement de toutes ces fonctionnalités sur uneplate-forme unique : i-SuiteBut : fournir aux Systèmes dInformation une gamme demodules pilotés par une console centralisée couvrant lintégralitédes besoins techniques des infrastructures applicatives métier : – sécurité – contrôle daccès – manipulation des flux – optimisation de la bande passante – haute disponibilité et répartition de charge – audit et monitoring des flux.Geneva Application Security Forum 4 mars 2010
  3. 3. Quest-ce que ASVS Unité de mesure du niveau de sécurité dune application Web Liste exhaustive des contrôles à mettre en place pour garantir un niveau de sécurité donné Base dexigences pour la contractualisation des vérifications de sécurité. 3Geneva Application Security Forum 4 mars 2010
  4. 4. Quelles réponses apporte lASVS Quels contrôles de sécurité sont nécessaires pour garantir à mon application le niveau de sécurité attendu ? Quelles doivent être les parties couvertes et le niveau dexigence lors de ces contrôles de sécurité ? Quel est le niveau de sécurité dune application Web ? 4Geneva Application Security Forum 4 mars 2010
  5. 5. Exigences de vérification de lASVS Exigences darchitecture Exigences de vérification de la sécurité Liste détaillée des vérifications à effectuer, par niveau 5Geneva Application Security Forum 4 mars 2010
  6. 6. Exigences de reporting de lASVS R1 –Introduction R2 – Description de lapplication R3 – Approche architecturale R4 – Résultats de la vérification 6Geneva Application Security Forum 4 mars 2010
  7. 7. Les niveaux de vérification de lASVS The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. 7Geneva Application Security Forum 4 mars 2010
  8. 8. Définition des niveaux Niveau 1 – Vérification automatisée (vérification partielle de lapplication) − Niveau 1A –Scan dynamique − Niveau 1B – Analyse du code source Niveau 2 – Vérification manuelle (vérification partielle de lapplication) − Niveau 2A – Test dintrusion − Niveau 2B – Revue de code Niveau 3 – Vérification de la conception Niveau 4 – Vérification des fonctions internes 8Geneva Application Security Forum 4 mars 2010
  9. 9. Niveau 1 en détail Vérification automatisée en «boite noire» de lapplication vue soit comme un tout, soit comme un groupe de composants Le chemin dune requête à travers lapplication na pas besoin dêtre documenté 9Geneva Application Security Forum 4 mars 2010
  10. 10. Niveau 1A et niveau 1B Niveau 1A Niveau 1B Analyse dynamique partielle Analyse partielle du code sourceLes 2 sont nécessaires pour obtenir un niveau 1complet 10Geneva Application Security Forum 4 mars 2010
  11. 11. Niveau 2 en détail Vérification manuelle dune application vue comme un groupe de composants organisés selon une architecture de haut niveau Les chemins des requêtes testées à travers lapplication doivent être documentés 11Geneva Application Security Forum 4 mars 2010
  12. 12. Niveau 2A et niveau 2B Niveau 2A Niveau 2BTests de pénétration manuels Revue manuelle du code sourceLes 2 sont nécessaires pour obtenir unniveau 2 complet. 12Geneva Application Security Forum 4 mars 2010
  13. 13. Niveau 3 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 2, modélisation des menaces contre les assets critiques et vérification de la conception Tous les chemins des requêtes à travers lapplication doivent être documentés 13Geneva Application Security Forum 4 mars 2010
  14. 14. Niveau 4 en détail The link ed image cannot be display ed. The file may hav e been mov ed, renamed, or deleted. Verify that the link points to the correct file and location. En plus du niveau 3, prise en compte du code des librairies et des frameworks 14Geneva Application Security Forum 4 mars 2010
  15. 15. ASVS dans le Cycle de Vie des Développements 15Geneva Application Security Forum 4 mars 2010
  16. 16. Les 14 familles d’exigences V1. Architecture sécurisée V9. Protection des données V2. Authentification V10. Sécurité des voies de V3. Gestion de Sessions communications V4. Contrôle daccès V11. Sécurité de HTTP V5. Validations des entrées V12. Configuration de la V6. Encodage et sécurité échappement des sorties V13. Recherche de codes V7. Cryptographie malicieux V8. Gestion des erreurs et V14. Sécurité interne de la journalisation 16Geneva Application Security Forum 4 mars 2010
  17. 17. Authentification« Les exigences de vérification dauthentification définissent unensemble dexigences pour générer etgérer les jetons dauthentification utilisateur de manière sûre » 17 Geneva Application Security Forum 4 mars 2010
  18. 18. Authentification 18Geneva Application Security Forum 4 mars 2010
  19. 19. Authentification 19Geneva Application Security Forum 4 mars 2010
  20. 20. Gestion des sessions« Les exigences de vérification de gestion des sessions,définissent un ensemble dexigences pour utiliser de manièresûre : requêtes HTTP, réponses, sessions, cookies, en-têtes(headers) et la journalisation de sorte à gérer les sessionscorrectement.Le tableau ci-dessous définit les exigences de vérificationcorrespondantes sappliquant aux quatre niveaux de vérification » 20 Geneva Application Security Forum 4 mars 2010
  21. 21. Gestion des sessions 21Geneva Application Security Forum 4 mars 2010
  22. 22. Gestion des sessions 22Geneva Application Security Forum 4 mars 2010
  23. 23. Contrôle d’accès« Ces exigences définissent les points requis de vérification decontrôles daccès pour les URLs, les fonctionnalitéscommerciales, les données, les services ainsi que les fichiers.Le tableau ci-dessous définit les exigences de vérificationcorrespondantes qui sappliquent pour chacun des quatreniveaux de vérification » 23 Geneva Application Security Forum 4 mars 2010
  24. 24. Contrôle d’accès 24Geneva Application Security Forum 4 mars 2010
  25. 25. Contrôle d’accès 25Geneva Application Security Forum 4 mars 2010

×