2013 03-01 automatiser les tests sécurité
Upcoming SlideShare
Loading in...5
×
 

2013 03-01 automatiser les tests sécurité

on

  • 1,163 views

 

Statistics

Views

Total Views
1,163
Views on SlideShare
1,000
Embed Views
163

Actions

Likes
4
Downloads
26
Comments
0

2 Embeds 163

http://www.scoop.it 162
https://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    2013 03-01 automatiser les tests sécurité 2013 03-01 automatiser les tests sécurité Presentation Transcript

    • Automaser  les  tests  sécurité  Web Sébasen  Gioria OWASP  France  Leader   OWASP  Global  Educaon  Commi<ee CONFOO-­‐  1  Mars  2013  -­‐  Montréal  -­‐  CanadaSaturday, March 2, 13
    • http://www.google.fr/#q=sebastien gioria ‣Consultant Indépendant en Sécurité Applicative ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) Twitter :@SPointSaturday, March 2, 13 2
    • O-­‐ou-­‐a-­‐ss-­‐pe? • OWASP  =  Open  Web  Applica6on  Security  Project – Il  y  a  le  mot  “web”  mais  en  fait  … • Mission: – Global,  ouvert,  non  lucra6f,  indépendant. • Communauté  OWASP: – 30,000  abonnés  aux  listes  de  diffusion   – 200  sec6ons  régionales  ac6ves  dans  70  pays – 1’600  membres  officiels,  56  entreprises  partenaires – 69  ins6tu6ons  académiquesSaturday, March 2, 13
    • Saturday, March 2, 13
    • Saturday, March 2, 13
    • ApprendreSaturday, March 2, 13
    • ApprendreSaturday, March 2, 13
    • Apprendre ContractualiserSaturday, March 2, 13
    • Apprendre ContractualiserSaturday, March 2, 13
    • Apprendre Contractualiser ConcevoirSaturday, March 2, 13
    • Apprendre Contractualiser ConcevoirSaturday, March 2, 13
    • Apprendre Contractualiser Concevoir VérifierSaturday, March 2, 13
    • Apprendre Contractualiser Concevoir VérifierSaturday, March 2, 13
    • Apprendre Contractualiser Concevoir Vérifier TesterSaturday, March 2, 13
    • Apprendre Contractualiser Concevoir Vérifier TesterSaturday, March 2, 13
    • Apprendre Contractualiser Concevoir Vérifier Tester AméliorerSaturday, March 2, 13
    • OWASP  Canada • Sec6ons  OWASP  au  Canada: – Alberta:  Edmonton  &  Lethbridge – Bri6sh  Columbia:  Okanagan  &  Vancouver – Manitoba:  Winnipeg – New  Brunswick:  New  Brunswick – Ontario:  Niagara,  Toronto,  Obawa – Quebec:  Montréal,  Quebec  citySaturday, March 2, 13
    • Agenda • Le  développement  et  la  sécurité • Les  différents  types  de  tests • Des  ou6ls • Comment  intégrer  ses  ou6ls  dans  sa  chaine 6Saturday, March 2, 13
    • ContexteDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Contexte • Les  applica6ons  Web  sont  fortement  exposéesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Contexte • Les  applica6ons  Web  sont  fortement  exposéesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Contexte • Les  applica6ons  Web  sont  fortement  exposées © VerizonDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Contexte • Les  applica6ons  Web  sont  fortement  exposées © Verizon • Mais  pas  par  des  abaques  complexesDemandez  a  regarder  la  CVE.... © Verizon 7Saturday, March 2, 13
    • Sécurité  &  Le  cycle  de   développement • Corriger  une  vulnérabilité  peut  couter  très  cher   Demandez  à  Microsoi   8Saturday, March 2, 13
    • Sécurité  &  Le  cycle  de   développement • Et  demander  du  temps  !   Demandez  à  Oracle.... 9Saturday, March 2, 13
    • Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
    • Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
    • Sécurité  &  Le  cycle  de   développement • Pourtant  il  existe  des  méthodes  de  sécurisa6on 10Ca  parait  compliqué,  mais  je  l’ai  présenté  à  confoo  précédemment....Saturday, March 2, 13
    • Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11Saturday, March 2, 13
    • Sécurité  &  cycle  de   développement • Mais  la  sécurité  est  un  processus  par  un  produit  !   (c)  Bruce  Schneier 11Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? 12Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? 12Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   12Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on 12Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   12Saturday, March 2, 13
    • Pourquoi  chercher  des   vulnérabilités  ? ✓Juste  pour  les  trouver  ? ✓Pour  savoir  ou  elles  se  trouvent  exactement  dans   le  code  ?   ✓Pour  s’assurer  qu’elles  ne  sont  pas  dans  notre   applica6on ✓Pour  se  conformer  à  une  exigence  réglementaire  ?   Quelle  technique  permet  de  répondre  le  mieux  à  l’une  ou  toutes  ses  ques6ons  ? ➡Revue  de  code  manuelle  ? ➡Test  d’intrusion  applica6f  manuel  ? 12Saturday, March 2, 13
    • De  quoi  parle-­‐t-­‐on  ? 13Saturday, March 2, 13
    • De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on 13Saturday, March 2, 13
    • De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée 13Saturday, March 2, 13
    • De  quoi  parle-­‐t-­‐on  ? • Revue  de  code  :   – Accès  au  code  source – Accès  à  la  documenta6on  fonc6onnelle – Accès  à  la  configura6on • Test  d’intrusion  applica6f  :   – Accès  via  le  réseau  à  l’applica6on  (protégée  ou  non  par   des  éléments  d’infrastructure) – Temps  limité – Compétence  du  testeur  limitée L’u6lisa6on  d’ou6ls  permet  d’aider  la  réalisa6on  de  la  revue  ou  du  test 13Saturday, March 2, 13
    • Evaluer  le  niveau  de  sécurité   d’une  applica6on  ?   • Référenel  : –OWASP  Top10  ? • L’un  des  plus  connu,  orienté  Risques –SANS  Top25  ?   • Plus  orienté  Code –CWE  ? • Un  peu  trop  complexe  ? –OWASP  ASVS  ? • Plus  orienté  exigences  fonc6onnelles 14Saturday, March 2, 13
    • 15Saturday, March 2, 13
    • Analyse  du  code • Avantages – Permet  de  voir  des  failles  non  détectées  par  un  test  de  type  test   d’intrusion – Permet  de  découvrir  des  problèmes  de  type  qualité  de  code  qui   conduiraient  à  des  abaques  DOS. – Les  ou6ls  commerciaux  sont  matures • Inconvénients – Les  ou6ls  open-­‐source  sont  très  immatures – Peut  être  long – Nécessite  des  compétences  pointues  en  développement  dans  le  langage   de  développement  couplées  à  des  compétences  sécurité. – Dans  le  cas  d’une  externalisa6on  de  l’analyse,  cebe  dernière  doit  être   fortement  encadrée 16Saturday, March 2, 13
    • 17Saturday, March 2, 13
    • Tests  d  intrusions • Avantages –Les  compétences  sur  ce  type  de  démarche  sont  faciles  a   trouver –Il  existe  des  ou6ls  open-­‐sources  matures –Cela  permet  de  tester  l’ensemble  de  la  chaine  de   produc6on;  infrastructure  et  logiciel   • Inconvénients –Le  temps  impar6  est  souvent  trop  faible  pour  tout  découvrir –Le  test  peut  mener  à  une  destruc6on  de  données;  il  ne  doit   pas  être  effectuer  directement  sur  la  producon. –Il  ne  permet  pas  de  s’assurer  d’un  niveau  de  sécurité. 18Saturday, March 2, 13
    • Les  ou6ls • Buts  :   –Améliorer  l’efficacité  des  tests   –Permebre  l’industrialisa6on  des  tests • Différentes  catégories  :   –Scanners  Web  ;  arachni,  w3af,  ... –Proxy  de  sécurité  ;  Burp  Suite,  Zap,  Vega –Modules  navigateurs  ;  Firecat,   –Ou6ls  spécifiques  ;  sqlmap,  ... 19Saturday, March 2, 13
    • L’automa6sa6on   • Pour  automa6ser  les  tests  sécurité,  il  est   nécessaire  d’avoir  un  ou6l    :   –disposant  d’une  base  importante  de  tests  (ou   vulnérabilités) –permebant  de  gérer  différents  points  d’entrée,  voire   de  découverte  de  ces  points –permebant  de  générer  un  rapport  “compréhensible” –intégrable  et  scriptable  dans  un  environnement  de   “build” 20Saturday, March 2, 13
    • W3AF hbp://w3af.org/ 21Saturday, March 2, 13
    • Arachni hbp://arachni-­‐scanner.com/ 22Saturday, March 2, 13
    • Hudson hbp://hudson-­‐ci.org/ 23Saturday, March 2, 13
    • Démos 24Saturday, March 2, 13
    • • @SPoint • sebas6en.gioria@owasp.orgSaturday, March 2, 13
    • • @SPoint • sebas6en.gioria@owasp.org Il ny a quune façon déchouer, cest dabandonner avant davoir réussi [Olivier Lockert]Saturday, March 2, 13