• Share
  • Email
  • Embed
  • Like
  • Private Content
Les menaces applicatives
 

Les menaces applicatives

on

  • 650 views

Description des grands classiques et des nouvelles tendances des attaques applicatives existantes.

Description des grands classiques et des nouvelles tendances des attaques applicatives existantes.

Statistics

Views

Total Views
650
Views on SlideShare
650
Embed Views
0

Actions

Likes
0
Downloads
36
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Les menaces applicatives Les menaces applicatives Presentation Transcript

    • Comprendre et anticiper les menaces applicatives.
    • LES GRANDS CLASSIQUES
    • LES GRANDS CLASSIQUES Attaques applicatives + SQL Injection + Cross Site Scripting + Command Injection + Path Traversal + Local (remote) File Inclusion + Redirections vers des sites tiers Faiblesses d’architecture + Mauvaise gestion des droits + Mauvaise gestion des accès aux ressources + Upload de fichiers dangereux + Cookies non sécurisés + Pages sessionless Déni de service + Atteinte des limites du serveur + Atteinte des limites de l’application + Vulnérabilité serveur (Apache, IIS, etc) Phishing/Scamming + Emails piégés + Abus de confiance + Ingénierie sociale
    • POURQUOI SONT ILS SI MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence) + Interruption de service + Atteinte à l’image de marque ou d’une société + Prise de contrôle de machines cibles + Revenus financiers Quelques exemples + US Army credentials informations leaks + NATO documents steal + SCADA + DDOS Operation (HSBC, Facebook, Twitter, Forex market) + Phishing (facebook, twitter)
    • CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic) + Développement sécurisé + Audits (code et sécurité) Déni de service + Mise en place de pare-feu réseau + Mise en place d’une sonde réseau + (Virtual) Patching afin de contrer les vulnérabilités 0-Day Phishing + Mise en place de solutions d’authentification des emails + Formation du personnel + Sensibilisation des utilisateurs (http://www.phishing.fr)
    • NOUVELLES TENDANCES
    • ATTAQUES APPLICATIVES Obfuscation d’attaques applicatives (Firewall Bypassing) + Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL encoding) + SQL Injection avancées (blind injections, conversions implicites) + XSS avancés (Javascript obfuscation) Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs) + XSRF (la vulnérabilité la plus répandue actuellement) + Des évolutions des anciennes recettes…
    • ATTAQUES ZERO DAY Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish + OpenSSL, XML parsers + Vulnérabilités Système Méthodologie + Requêtes et communications malformées + Exploitation de fuite mémoire Outils + Metasploit + Slowloris + THC-SSL-DOS, etc.
    • ATTAQUES DU PROTOCOLE SSL Ciphers cracking + B.E.A.S.T. + CBC mode vulnerability SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL) + C.R.I.M.E. v2 (HTTP Compression, Time Attack)
    • BONNES PRATIQUES
    • SE MAINTENIR A JOUR Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour + Installer les mises à jour des produits de défense dès qu’elles sont disponibles + Mettre en place des règles de virtual patching via ICX ou les workflows Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits + S’informer de l’actualité des techniques d’attaque + Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)
    • RENFORCER LA POLITIQUE D’ACCES De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques + Mesurer leur impact dans le système d’information + Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité) Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus + Maintenir le serveur applicatif à jour + Maintenir le pare-feu applicatif à jour
    • VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides + Protocole HTTP modifié + Flux de données anormalement important Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes + Vérifier la validité du protocole + Vérifier le nombre et le format des paramètres
    • NE RIEN OUBLIER Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le serveur web + Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires) + Communication via des API Web Services (SOAP/XML) peu ou pas protégés ! Le cœur fonctionnel de l’application web reste le même + Utilisation de SQL, HTML et de langages de script + Les attaques applicatives touchent également les web services + Au même titre que les applications web classiques, les Web Services doivent être protégés!
    • UNE APPLICATION WEB SÉCURISÉE
    • UNE APPLICATION SÉCURISÉE Une infrastructure à jour + Pare-feu applicatif + signatures + Serveur web + Annuaire et base de données + Système d’exploitation Une maîtrise du trafic entrant + Taille des requêtes + Nombre de requêtes + Nombre et format de paramètres + Protocoles autorisés Une bonne connaissance de l’application web + Identification des différents points de communications + Evaluation des niveaux de confiance Un suivi de l’actualité sécurité + Nouvelles vulnérabilités + Nouvelles attaques
    • VULNÉRABILITÉS WEB ‘13 WAF WAF WAF WAF MULTI WAF WAF MULTI WAF WAF # Vulnérabilité 1 Injection 2 Broken authentication & session management 3 Cross site scripting 4 Insecure direct object reference 5 Security misconfiguration 6 Sensitive data exposure 7 Missing function level access control 8 Cross site request forgery 9 Using components with known vulnerabilities 10 Unvalidated redirects and forwards Contre mesure Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
    • VOTRE PARE-FEU APPLICATIF Doit : + Être un équipement dédié + Être à jour ! + Être modulaire et industrialisable + Protéger TOUTES les applications + Protéger efficacement les Web Services + Protéger les applications mobiles Ne doit pas : + Être une boîte noire + Nécessiter 800 pages de manuel + Requérir l’intervention des développeurs
    • Web Application Firewall, Web Access Management et Web Services Firewall. MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services. MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates. BEE WARE I-SUITE 5.5 Active monitoring Application firewalling Application routing HTTP throttling Mobility policies REST/JSON Reverse proxy SOAP/XML SSL tunneling Strong authentication Web cloaking Workflow MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.
    • CONTACTS Service commercial + tel : +33 1 74 90 50 96 + sales@bee-ware.net Plus d’infos + http://www.bee-ware.net + http://blog.bee-ware.net + http://my.bee-ware.net + http://www.slideshare.net/bee_ware + http://www.scoop.it/t/securite-web + @beewaretech + @beewebsec