OWASP Top10 2013 - Présentation aux RSSIA 2013
Upcoming SlideShare
Loading in...5
×
 

OWASP Top10 2013 - Présentation aux RSSIA 2013

on

  • 1,062 views

Présentation autour du Top10 2013 de l'OWASP aux RSSIA de Bordeaux au CLUSIR Aquitaine

Présentation autour du Top10 2013 de l'OWASP aux RSSIA de Bordeaux au CLUSIR Aquitaine

Statistics

Views

Total Views
1,062
Views on SlideShare
965
Embed Views
97

Actions

Likes
1
Downloads
21
Comments
0

2 Embeds 97

http://www.scoop.it 80
https://twitter.com 17

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

OWASP Top10 2013 - Présentation aux RSSIA 2013 OWASP Top10 2013 - Présentation aux RSSIA 2013 Presentation Transcript

  • Et  pour  quelques  lignes  de  code  sécurisé  (oubliées...)RSSIA  -­‐  Bordeaux21  Juin  2013Sébas&en  GioriaSebasCen.Gioria@owasp.orgChapter  Leader  OWASP  FranceFriday, June 21, 13
  • http://www.google.fr/#q=sebastien gioria‣OWASP France Leader & Founder &Evangelist‣Application Security freelance consultant.Twitter :@SPoint / @OWASP_France2‣Application Security group leader for theCLUSIF‣Proud father of youngs kids trying to hack mydigital life.Ne  vous  inquietez  pas  c’est  le  seul  slide  en  anglais,  par  contre  il  y  aura  des  trucs  d’écrits  partout  en  bas...Friday, June 21, 13
  • Agenda• Remise  a  plat  du  problème• Quelques  exemples  récents• Pour  aller  plus  loin  • L’écosystème  OWASP3Déja  je  remercie  Hervé,  car  graçe  a  lui,  je  me  suis  levé  de  bonne  heure....Friday, June 21, 13
  • Jeu  1  4?????Friday, June 21, 13
  • Jeu  2  5????un  indice  :  c’est  a  la  mode.....Friday, June 21, 13
  • Jeu  3  6?Friday, June 21, 13
  • Jeu  3  6?Friday, June 21, 13
  • Jeu  4  ?  7????Moi  j’aurai  pas  confiance  a  filer  mes  idenCfiants  a  des  gens  Cers....Friday, June 21, 13
  • Game  Over....• Un  Téléphone  VoIP  ?  • Une  {Free  ı  B  ı  Live  ı  SFR  ı  *  }  box  ?• Des  applicaCons  sur  des  ordiphones  ?  • Clients  ?  partenaires  sur    Internet  ?8Ah....j’ai  réussi  a  le  caser  ce  mot...I?Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  l’  AnCvirus9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  l’  AnCvirus9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  la    sécurité  périmétrique9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  la    sécurité  périmétrique9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  la  sécurité  applicaCve9Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCerSécurité  ApplicaCve  ?  Age  de  la  sécurité  applicaCve9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....”Friday, June 21, 13
  • Nous  vivons  dans  un  environnement  fortement  digital,  connecté  en  quasi-­‐permanence  au  monde  enCervLa  plupart  des  sites-­‐web  sont  vulnérables  a  des  aoaquesvUne   part   importante   du   business   est   effectué   via   des   applicaCons   Web  (Services,  e-­‐commerce,  Telcos,  SCADA,  ...)Sécurité  ApplicaCve  ?  Age  de  la  sécurité  applicaCve9Et  la  mon  fils  me  dit  :  “Papa,  t’a  pas  mis  l’age  de  glace  sur  ton  slide....”Friday, June 21, 13
  • 10(c)  WhiteHatSecurity  2013Friday, June 21, 13
  • 11(c)  WhiteHatSecurity  2013Friday, June 21, 13
  • 11(c)  WhiteHatSecurity  2013Friday, June 21, 13
  • 11(c)  WhiteHatSecurity  2013Friday, June 21, 13
  • 11(c)  WhiteHatSecurity  2013Friday, June 21, 13
  • Quelques  exemples  récents12Friday, June 21, 13
  • ‘OR  1==1  -­‐-­‐’13Friday, June 21, 13
  • ‘OR  1==1  -­‐-­‐’13Friday, June 21, 13
  • ‘OR  1==1  -­‐-­‐’13L’injecCon  SQL  fait  beaucoup  parler  d’elle.  Mais  il  existe  d’autres  formes  d’injecCons  :  •XML•XPath•LDAP•ORB(Hibernate)•...Friday, June 21, 13
  • ‘OR  1==1  -­‐-­‐’13L’injecCon  SQL  fait  beaucoup  parler  d’elle.  Mais  il  existe  d’autres  formes  d’injecCons  :  •XML•XPath•LDAP•ORB(Hibernate)•...Friday, June 21, 13
  • ‘OR  1==1  -­‐-­‐’13L’injecCon  SQL  fait  beaucoup  parler  d’elle.  Mais  il  existe  d’autres  formes  d’injecCons  :  •XML•XPath•LDAP•ORB(Hibernate)•...A1  Injec&on  de  données  serveurFriday, June 21, 13
  • <script>alert(/XSS/);</script>14Vous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • <script>alert(/XSS/);</script>14Vous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • <script>alert(/XSS/);</script>14Vous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • <script>alert(/XSS/);</script>14Le  Cross  Site  ScripCng  est  souvent  mal  considéré.  Sa  puissance  peut  aller  jusqu’a  la  prise  de  contrôle  sur  le  poste  client...Vous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • <script>alert(/XSS/);</script>14Le  Cross  Site  ScripCng  est  souvent  mal  considéré.  Sa  puissance  peut  aller  jusqu’a  la  prise  de  contrôle  sur  le  poste  client...Vous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • <script>alert(/XSS/);</script>14Le  Cross  Site  ScripCng  est  souvent  mal  considéré.  Sa  puissance  peut  aller  jusqu’a  la  prise  de  contrôle  sur  le  poste  client...A3  Cross  Site  Scrip&ngVous  préférez  InjecCon  de  code  indirect  ?Friday, June 21, 13
  • Vous  reprendrez  bien  un  peu  de  cookie  ?15Friday, June 21, 13
  • Vous  reprendrez  bien  un  peu  de  cookie  ?15Friday, June 21, 13
  • Vous  reprendrez  bien  un  peu  de  cookie  ?15Les développeurs peuvent être tentés de créer leurpropre gestionnaire de sessions et dauthentification,mais il sagit dune tâche complexe. Il en résultesouvent des implémentations contenant des faiblessesde sécurité dans des fonctions telles que: ladéconnexion, la gestion des profils, etc. La a diversitédes implémentations rend la recherche devulnérabilités complexe.Friday, June 21, 13
  • Vous  reprendrez  bien  un  peu  de  cookie  ?15Les développeurs peuvent être tentés de créer leurpropre gestionnaire de sessions et dauthentification,mais il sagit dune tâche complexe. Il en résultesouvent des implémentations contenant des faiblessesde sécurité dans des fonctions telles que: ladéconnexion, la gestion des profils, etc. La a diversitédes implémentations rend la recherche devulnérabilités complexe.Friday, June 21, 13
  • Vous  reprendrez  bien  un  peu  de  cookie  ?15Les développeurs peuvent être tentés de créer leurpropre gestionnaire de sessions et dauthentification,mais il sagit dune tâche complexe. Il en résultesouvent des implémentations contenant des faiblessesde sécurité dans des fonctions telles que: ladéconnexion, la gestion des profils, etc. La a diversitédes implémentations rend la recherche devulnérabilités complexe.A2  viola&on  de  session  et/ou  d’authen&fica&onFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Friday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Friday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Friday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeSurf  the  WebFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • Que  se  passe-­‐t-­‐il  ?16Session  authen&fiéeFriday, June 21, 13
  • CSRF  démysCfié• Le  problème– Les  navigateurs  Web  incluent  automaCquement  la  plupart  des  idenCfiants  dans  chaque  requête.– Que  cela  soit  des  requêtes  venant  d’un  formulaire,  d’une  image  ou  d’un  autre  site.• Tous  les  sites  basés  uniquement  sur  les  idenCfiants  automaCques  sont  vulnérables– ApproximaCvement  100%  des  sites  le  sont…• C’est  quoi  un  idenCfiant  automaCque?– Cookie  de  session– Une  entête  d’authenCficaCon  HTTP– Une  adresse  IP– Les  cerCficats  SSL  client– L’authenCficaCon  de  domaine  Windows.Friday, June 21, 13
  • CSRF  ?  18injections de requêtes illégitimes par rebond pour la vrai terminologieFriday, June 21, 13
  • CSRF  ?  18L’attaquant forge une requête HTTP etamène une victime à la soumettre via unebalise d’image, XSS, ou de nombreusesautres techniques. Si l’utilisateur estauthentifié , l’attaque est un succès.injections de requêtes illégitimes par rebond pour la vrai terminologieFriday, June 21, 13
  • CSRF  ?  18L’attaquant forge une requête HTTP etamène une victime à la soumettre via unebalise d’image, XSS, ou de nombreusesautres techniques. Si l’utilisateur estauthentifié , l’attaque est un succès.injections de requêtes illégitimes par rebond pour la vrai terminologieFriday, June 21, 13
  • CSRF  ?  18L’attaquant forge une requête HTTP etamène une victime à la soumettre via unebalise d’image, XSS, ou de nombreusesautres techniques. Si l’utilisateur estauthentifié , l’attaque est un succès.A8Cross  Site  Request  Forgeryinjections de requêtes illégitimes par rebond pour la vrai terminologieFriday, June 21, 13
  • site:gouv.fr....19Friday, June 21, 13
  • site:gouv.fr....19Friday, June 21, 13
  • site:gouv.fr....19Friday, June 21, 13
  • site:gouv.fr....19Une  simple  recherche  google  permet  d’avoir  accès  a  des  documents  confidenCels  ou  internesFriday, June 21, 13
  • site:gouv.fr....19Une  simple  recherche  google  permet  d’avoir  accès  a  des  documents  confidenCels  ou  internesFriday, June 21, 13
  • site:gouv.fr....19Une  simple  recherche  google  permet  d’avoir  accès  a  des  documents  confidenCels  ou  internesA5  Mauvaise  config  sécuritéFriday, June 21, 13
  • Qu’est-­‐ce  qu’un  risque  de  sécurité  applicaCf?20La  c’etait  le  slide  qui  tueFriday, June 21, 13
  • OWASP  Top10  201321A1:  Injec&onA2:  Viola&on  de  Ges&on  d’authen&fica&on  et  de  sessionA3:  Cross  Site  Scrip&ng  (XSS)A4:Référence  directe  non  sécurisée  à  un  objetA5:  Mauvaise  configura&on  sécurité  A6  :  Exposi&on  de  données  sensiblesA8:  Cross  Site  Request  Forgery  (CSRF)  A10:    Redirec&ons    et  transferts  non  validésA7:  Manque  de  contrôle  d’accès  fonc&onnelA9:  U&lisa&on  de  composants  avec  des  vulnérabilités  connuesFriday, June 21, 13
  • OWASP  Top10  201321A1:  Injec&onA2:  Viola&on  de  Ges&on  d’authen&fica&on  et  de  sessionA3:  Cross  Site  Scrip&ng  (XSS)A4:Référence  directe  non  sécurisée  à  un  objetA5:  Mauvaise  configura&on  sécurité  A6  :  Exposi&on  de  données  sensiblesA8:  Cross  Site  Request  Forgery  (CSRF)  A10:    Redirec&ons    et  transferts  non  validésA7:  Manque  de  contrôle  d’accès  fonc&onnelA9:  U&lisa&on  de  composants  avec  des  vulnérabilités  connuesex-­‐A9(transport  non  sécurisé)  +  A7(Stockage  crypto)Friday, June 21, 13
  • OWASP  Top10  201321A1:  Injec&onA2:  Viola&on  de  Ges&on  d’authen&fica&on  et  de  sessionA3:  Cross  Site  Scrip&ng  (XSS)A4:Référence  directe  non  sécurisée  à  un  objetA5:  Mauvaise  configura&on  sécurité  A6  :  Exposi&on  de  données  sensiblesA8:  Cross  Site  Request  Forgery  (CSRF)  A10:    Redirec&ons    et  transferts  non  validésA7:  Manque  de  contrôle  d’accès  fonc&onnelA9:  U&lisa&on  de  composants  avec  des  vulnérabilités  connuesex-­‐A9(transport  non  sécurisé)  +  A7(Stockage  crypto)Friday, June 21, 13
  • Pour  aller  plus  loin22Friday, June 21, 13
  • 23Friday, June 21, 13
  • 23ApprendreFriday, June 21, 13
  • 23ApprendreFriday, June 21, 13
  • 23Apprendre ContractualiserFriday, June 21, 13
  • 23Apprendre ContractualiserFriday, June 21, 13
  • 23Apprendre Contractualiser ConcevoirFriday, June 21, 13
  • 23Apprendre Contractualiser ConcevoirFriday, June 21, 13
  • 23Apprendre Contractualiser ConcevoirCoderFriday, June 21, 13
  • 23Apprendre Contractualiser ConcevoirCoderFriday, June 21, 13
  • 23Apprendre ContractualiserTester  et  vérifierConcevoirCoderFriday, June 21, 13
  • 23Apprendre ContractualiserTester  et  vérifierConcevoirCoderFriday, June 21, 13
  • 23Apprendre ContractualiserTester  et  vérifierConcevoirAméliorerCoderFriday, June 21, 13
  • 23Apprendre ContractualiserTester  et  vérifierConcevoirAméliorerCoderFriday, June 21, 13
  •  NEWSA  BLOGA  PODCASTMEMBERSHIPSMAILING  LISTSA  NEWSLETTERAPPLE  APP  STOREVIDEO  TUTORIALSTRAINING  SESSIONSSOCIAL  NETWORKING24Friday, June 21, 13
  • Dates• OWASP  EU  Tour  2013  :  –24  Juin  -­‐  Sophia  AnCpolis–25  Juin  -­‐  Geneve• Java  User  Group  Poitou  Charentes    -­‐  Niort  :  27  Juin–Secure  Coding  for  Java  • AppSec  Research  Europe  2013  :  20/23  Aout  –  Hambourg  –  Allemagne•  OWASP  Benelux  :  28/29  Novembre  201325Friday, June 21, 13
  • Soutenir  l’OWASP• Différentes  soluCons  :  –Membre  Individuel  :  50  $–Membre  Entreprise  :  5000  $–DonaCon  Libre• Soutenir  uniquement    le  chapitre  France  :–Single  MeeCng  supporter  • Nous  offrir  une  salle  de  meeCng  !  • ParCciper  par  un  talk  ou  autre  !  • DonaCon  simple  –Local  Chapter  supporter  :  • 500  $  à  2000  $   26Friday, June 21, 13
  • Prochains  meeCngs• Septembre  2013  –Salle  :  Mozilla  Center  Paris–Speaker  :  • Security  on  Firefox  OS• A  définir• Novembre  2013–Salle  :  a  définir–Speaker  :  a  définirFriday, June 21, 13
  • License28@SPointsebasCen.gioria@owasp.orgFriday, June 21, 13