SlideShare a Scribd company logo

Les principales failles de sécurité des applications web actuelles

Bee_Ware
Bee_Ware

Principes, parades et bonnes pratiques de sécurité permettant de sécuriser votre parc applicatif.

Technology
1 of 23
Download to read offline
Les principales failles de sécurité des applications web actuelles telles que recensées par l ’OWASP Xavier KRESS 08 Juillet 2013 Principes, parades & bonnes pratiques de développement
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes • Objectifs et conséquences d’une attaque • Les hackers et les kits d’attaque • L’OWASP et les kits de défense - Les principales failles de sécurité applicatives • Principe et exemples de fonctionnement • Objectifs / Conséquences • Parades - Comment sécuriser son parc applicatif • Sensibiliser les développeurs • Effectuer des tests d’intrusion et de la revue de code • Intégrer la sécurité dans la gestion de projets 2/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes Environ 40% de la population mondiale 70% dans les pays développés 80% en France soit plus de 50 millions d’internautes Pourcentage d’Internautes dans le monde, source: International Telecommunications Union. 3/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes Une multitude d’applications Dans tous les domaines Des usages différents, en entreprise, à domicile ou en mobilité L’intégralité des données personnelles et de l’entreprise est accessible au travers des applications Web 4/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Objectifs et conséquences d’une attaque o o o o o Vol d’informations Usurpation d’identité Indisponibilité de service Défiguration de site Désinformation 5/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Objectifs et conséquences d’une attaque Avril 2011 : accès et publication sur Internet des informations de 77 millions de comptes du Playstation Network Juin 2011 : plusieurs centaines de comptes Gmail de hauts fonctionnaires et militaires américains piratés Juin 2012 6.5 millions de mots de passe LinkedIn volés 6/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les hackers et les kits d’attaque o Trouver et exploiter une faille de sécurité est un jeu d’enfant o Cela ne nécessite aucune compétence particulière o Une documentation abondante o Des logiciels de détection (scanner) et d’intrusion disponibles gratuitement. 7/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • L’OWASP et les kits de défense o Une communauté libre et ouverte travaillant sur la sécurité des applications Web o De nombreux projets et documents destinés à aider les développeurs à sécuriser leurs applications o o o o o o WebGoat WebScarab Zed Attack Proxy Testing Guide Code Review Guide Top Ten Application non sécurisée permettant de découvrir la sécurité par la pratique Permet d’analyser et modifier les flux HTTP envoyés et reçus par les applications Logiciel de test d’intrusion permettant de détecter des failles applicatives Guide pour les tests applicatifs Guide pour la revue de code Classement (par niveau de risque) des principales failles applicatives 8/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Les injections Violation de gestion d’authentification et de session Cross-Site Scripting (XSS) Référence directe non sécurisée à un objet Mauvaise configuration de sécurité Exposition de données sensibles Absence de contrôle d’accès aux fonctions Falsification de requête intersite (CSRF) Utilisation de composants dont la vulnérabilité est connue Redirections et renvois non validés 9/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 1. Les injections Injection de commande non prévue par le système (SQL, LDAP, XPATH …) dans les entrées de l’application (formulaires et variables d’URL). Objectifs : - lecture, suppression, altération de données. - accès au système sans authentification. Parades : - Vérification des données saisies (listes noires, liste blanche, expressions régulières…). 10/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 2. Violation de gestion d’authentification et de session Regroupe les vulnérabilités permettant à un attaquant de s’approprier l’identité d’un utilisateur. Violation de gestion d’authentification Vol de session Objectifs : - Accéder à des fonctionnalités réservées à certaines personnes. - Accéder à des données confidentielles. Parades : - Exiger des mots de passe forts. - Utiliser un système de captcha. -------------------- Utiliser les cookies pour gérer les sessions. - Définir une durée de session maximale. 11/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 3. Cross-Site Scripting (XSS) Attaque par injection, consistant à insérer du code au sein d’une application réputée fiable, pour qu’il s’exécute sur le poste client. Objectifs : - Défiguration / blocage de site. - Redirection d’utilisateurs vers un autre site. - Vol de session. Parades : - Vérifier les données en entrée. - Retraiter les données issues de la base de données avant de les afficher. 12/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 4. Référence directe non sécurisée à un objet Faille permettant à un attaquant d’accéder directement à des objets (fichiers, répertoires, enregistrements de base de données) sans autorisation. Objectifs : - Accéder à des informations confidentielles. - Prendre le contrôle d’un serveur. Parades : - Vérifier les accès à chaque ressources. - Remplacer par une valeur temporaire aléatoire (ESAPI) les références directes aux objets (ID, noms de fichiers…). 13/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 5. Mauvaise configuration de sécurité Cette faille regroupe toutes les vulnérabilités liées à des problèmes de configuration, sur tous les éléments de la couche applicative (serveurs, langage, framework, composants…). Attaque par manipulation d’URL Objectifs : - Accéder à des informations confidentielles. - Prendre le contrôle d’un serveur. Parades : - Ne pas attribuer aux composants plus de droits que nécessaire. - Etudier rigoureusement la configuration. 14/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 6. Exposition de données sensibles Cette faille regroupe toutes les vulnérabilités liées à la protection des données sensibles. Technique du grain de sel Objectifs : - Accéder à des données confidentielles. - Usurpation d’identité. Parades : - Utiliser des algorithmes de chiffrement forts. - Ne pas stocker d’informations inutiles. - Utiliser le protocole TLS sur toute la chaine. - Les clés de décryptage doivent être stockées séparément des données. 15/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 7. Absence de contrôle d’accès aux fonctions Cette faille permet à un attaquant d’accéder à des pages ou fonctions d’une application Web sans y avoir droit. Objectifs : - Exécuter des fonctionnalités sans en avoir les droits. - Accéder à des données confidentielles. Parades : - Vérifier les droits d’accès sur chaque page de l’interface et avant d’exécuter chaque fonctions (logique métier). - Par défaut, refuser les accès. 16/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 8. Falsification de requête intersite (CSRF) Cette faille consiste à exploiter la confiance qu’une application a envers ses utilisateurs en les forçant à exécuter des requêtes sur l’application sans qu’ils en soient conscients. Attaque CSRF par envoi de mail Objectifs : - Exécuter des fonctionnalités sans en avoir les droits. Parades : - Demander aux utilisateurs des confirmations avant d’exécuter des actions sensibles. - Vérifier le referer de la page. - Utiliser la technique du jeton de validité. <img src = "http://bank.com/transfer.do?acct= KRESS&amount=1000" width="1" height="1" border="0"> 17/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 9. Utilisation de composants dont la vulnérabilité est connue Cette faille concerne tous les composants utilisés pour le fonctionnement d’une application. Ils peuvent présenter des vulnérabilités et doivent faire l’objet d’une attention particulière. Objectifs : - Accéder à des données confidentielles. - Prendre le contrôle d’un serveur. Parades : - Tenir à jour une liste des composants utilisés ainsi que leur version. - Mettre à jour ces composants dès qu’une vulnérabilité est détectée et corrigée. 18/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 10. Redirections et renvois non validés Cette faille concerne les redirections et renvois utilisés par les applications sans validation. Objectifs : - Rediriger des utilisateurs vers des sites de phishing. - Accéder sans autorisation à une partie de l’application. Parades : - Vérifier les URL avant d’effectuer les redirections. - Utiliser des variables pour masquer les liens de redirection. - Vérifier les droits d’accès sur chaque page d’un espace privé. 19/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Sensibiliser les développeurs o Les informer sur les failles de sécurité et les impacts métier qu’elles peuvent avoir. o Leur apprendre à mettre en place des parades pour chacune de ces failles. o La robustesse d’une application dépend de son maillon le plus faible. o Les inciter à utiliser les API et les check-lists (OWASP). o Utiliser des référentiels (OWASP, SANS TOP 25, CWE, WASC ID…) 20/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Effectuer des tests d’intrusion et de la revue de code o Utiliser les techniques des hackers pour mieux protéger ses applications. o Les tests d’intrusion ne remplacent pas la revue de code (hashage des mots de passe, vérification d’authentification sur toutes les pages…) o Utiliser des guides (Testing guide, Code rewiew guide…) 21/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Intégrer la sécurité dans la gestion de projets o La sécurité doit être appréhendée et traitée comme un processus continu. o Elle doit être intégrée à la stratégie et aux objectifs de l’entreprise. o Définition d’une politique de sécurité impliquant le management. 22/22 Xavier KRESS - 08/07/2013
Les principales failles de sécurité des applications web actuelles Questions Xavier KRESS - 08/07/2013

Recommended

La Gestion multi-sociétés - Sage 1000 FRP V6
La Gestion multi-sociétés - Sage 1000 FRP V6La Gestion multi-sociétés - Sage 1000 FRP V6
La Gestion multi-sociétés - Sage 1000 FRP V6Sage france
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ... Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ...Yuichi Nakamura
 
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...Studio Fiorenzi Security & Forensics
 

Recommended

La Gestion multi-sociétés - Sage 1000 FRP V6
La Gestion multi-sociétés - Sage 1000 FRP V6La Gestion multi-sociétés - Sage 1000 FRP V6
La Gestion multi-sociétés - Sage 1000 FRP V6Sage france
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ... Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ...Yuichi Nakamura
 
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...
Enterprise Digital Forensics and Secuiryt with Open Source tools: Automate Au...Studio Fiorenzi Security & Forensics
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Vincent Lepot
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Introduction to TLS-1.3
Introduction to TLS-1.3 Introduction to TLS-1.3
Introduction to TLS-1.3 Vedant Jain
 
Lab1-DB-Cassandra
Lab1-DB-CassandraLab1-DB-Cassandra
Lab1-DB-CassandraLilia Sfaxi
 
SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.Philippe Lhardy
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réellesGeoffroy Arnoud
 
Architecture of message oriented middleware
Architecture of message oriented middlewareArchitecture of message oriented middleware
Architecture of message oriented middlewareLikan Patra
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Building secure applications with keycloak
Building secure applications with keycloak Building secure applications with keycloak
Building secure applications with keycloak Abhishek Koserwal
 
Audit
AuditAudit
Auditzan
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Christophe Pekar
 
Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetBee_Ware
 

More Related Content

What's hot

Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Vincent Lepot
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Introduction to TLS-1.3
Introduction to TLS-1.3 Introduction to TLS-1.3
Introduction to TLS-1.3 Vedant Jain
 
Lab1-DB-Cassandra
Lab1-DB-CassandraLab1-DB-Cassandra
Lab1-DB-CassandraLilia Sfaxi
 
SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.Philippe Lhardy
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réellesGeoffroy Arnoud
 
Architecture of message oriented middleware
Architecture of message oriented middlewareArchitecture of message oriented middleware
Architecture of message oriented middlewareLikan Patra
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Building secure applications with keycloak
Building secure applications with keycloak Building secure applications with keycloak
Building secure applications with keycloak Abhishek Koserwal
 
Audit
AuditAudit
Auditzan
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 

What's hot (20)

Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An Overview
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Introduction to TLS-1.3
Introduction to TLS-1.3 Introduction to TLS-1.3
Introduction to TLS-1.3
 
Lab1-DB-Cassandra
Lab1-DB-CassandraLab1-DB-Cassandra
Lab1-DB-Cassandra
 
SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.SSL/TLS Présentation en Français.
SSL/TLS Présentation en Français.
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réelles
 
Architecture of message oriented middleware
Architecture of message oriented middlewareArchitecture of message oriented middleware
Architecture of message oriented middleware
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risques
 
Building secure applications with keycloak
Building secure applications with keycloak Building secure applications with keycloak
Building secure applications with keycloak
 
Audit
AuditAudit
Audit
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 

Viewers also liked

Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Christophe Pekar
 
Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetBee_Ware
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéBee_Ware
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentationDerrick Hunter
 
Managing Security in External Software Dependencies
Managing Security in External Software DependenciesManaging Security in External Software Dependencies
Managing Security in External Software Dependenciesthariyarox
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...TelecomValley
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsBee_Ware
 
Continuous Security - TCCC
Continuous Security - TCCCContinuous Security - TCCC
Continuous Security - TCCCWendy Istvanick
 
Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Rémi Thomas
 
Hiding in Plain Sight: The Danger of Known Vulnerabilities
Hiding in Plain Sight: The Danger of Known VulnerabilitiesHiding in Plain Sight: The Danger of Known Vulnerabilities
Hiding in Plain Sight: The Danger of Known VulnerabilitiesImperva
 
Live 2014 Survey Results: Open Source Development and Application Security Su...
Live 2014 Survey Results: Open Source Development and Application Security Su...Live 2014 Survey Results: Open Source Development and Application Security Su...
Live 2014 Survey Results: Open Source Development and Application Security Su...Sonatype
 
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...Ajin Abraham
 
[Poland] SecOps live cooking with OWASP appsec tools
[Poland] SecOps live cooking with OWASP appsec tools[Poland] SecOps live cooking with OWASP appsec tools
[Poland] SecOps live cooking with OWASP appsec toolsOWASP EEE
 

Viewers also liked (20)

Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internet
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
 
Managing Security in External Software Dependencies
Managing Security in External Software DependenciesManaging Security in External Software Dependencies
Managing Security in External Software Dependencies
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
27 jan 2012[1]
27 jan 2012[1]27 jan 2012[1]
27 jan 2012[1]
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
Continuous Security - TCCC
Continuous Security - TCCCContinuous Security - TCCC
Continuous Security - TCCC
 
Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Où intégrer les services web (association/event)
Où intégrer les services web (association/event)
 
Dependency check
Dependency checkDependency check
Dependency check
 
Hiding in Plain Sight: The Danger of Known Vulnerabilities
Hiding in Plain Sight: The Danger of Known VulnerabilitiesHiding in Plain Sight: The Danger of Known Vulnerabilities
Hiding in Plain Sight: The Danger of Known Vulnerabilities
 
Live 2014 Survey Results: Open Source Development and Application Security Su...
Live 2014 Survey Results: Open Source Development and Application Security Su...Live 2014 Survey Results: Open Source Development and Application Security Su...
Live 2014 Survey Results: Open Source Development and Application Security Su...
 
Managing third party libraries
Managing third party librariesManaging third party libraries
Managing third party libraries
 
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...
 
[Poland] SecOps live cooking with OWASP appsec tools
[Poland] SecOps live cooking with OWASP appsec tools[Poland] SecOps live cooking with OWASP appsec tools
[Poland] SecOps live cooking with OWASP appsec tools
 
News Bytes - December 2015
News Bytes - December 2015News Bytes - December 2015
News Bytes - December 2015
 

Similar to Les principales failles de sécurité des applications web actuelles

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications webHenrique Mukanda
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxouiamlamghari12
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil SkipfishMounia EL
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 

Similar to Les principales failles de sécurité des applications web actuelles (20)

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_ima
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfish
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 

More from Bee_Ware

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape reportBee_Ware
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challengesBee_Ware
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends studyBee_Ware
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance reportBee_Ware
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Bee_Ware
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Bee_Ware
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to goBee_Ware
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAMBee_Ware
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014Bee_Ware
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security SurveyBee_Ware
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013Bee_Ware
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - FranceBee_Ware
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysisBee_Ware
 

More from Bee_Ware (20)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
 

Les principales failles de sécurité des applications web actuelles

  • 1. Les principales failles de sécurité des applications web actuelles telles que recensées par l ’OWASP Xavier KRESS 08 Juillet 2013 Principes, parades & bonnes pratiques de développement
  • 2. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes • Objectifs et conséquences d’une attaque • Les hackers et les kits d’attaque • L’OWASP et les kits de défense - Les principales failles de sécurité applicatives • Principe et exemples de fonctionnement • Objectifs / Conséquences • Parades - Comment sécuriser son parc applicatif • Sensibiliser les développeurs • Effectuer des tests d’intrusion et de la revue de code • Intégrer la sécurité dans la gestion de projets 2/22 Xavier KRESS - 08/07/2013
  • 3. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes Environ 40% de la population mondiale 70% dans les pays développés 80% en France soit plus de 50 millions d’internautes Pourcentage d’Internautes dans le monde, source: International Telecommunications Union. 3/22 Xavier KRESS - 08/07/2013
  • 4. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les applications Web sont devenues omniprésentes Une multitude d’applications Dans tous les domaines Des usages différents, en entreprise, à domicile ou en mobilité L’intégralité des données personnelles et de l’entreprise est accessible au travers des applications Web 4/22 Xavier KRESS - 08/07/2013
  • 5. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Objectifs et conséquences d’une attaque o o o o o Vol d’informations Usurpation d’identité Indisponibilité de service Défiguration de site Désinformation 5/22 Xavier KRESS - 08/07/2013
  • 6. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Objectifs et conséquences d’une attaque Avril 2011 : accès et publication sur Internet des informations de 77 millions de comptes du Playstation Network Juin 2011 : plusieurs centaines de comptes Gmail de hauts fonctionnaires et militaires américains piratés Juin 2012 6.5 millions de mots de passe LinkedIn volés 6/22 Xavier KRESS - 08/07/2013
  • 7. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • Les hackers et les kits d’attaque o Trouver et exploiter une faille de sécurité est un jeu d’enfant o Cela ne nécessite aucune compétence particulière o Une documentation abondante o Des logiciels de détection (scanner) et d’intrusion disponibles gratuitement. 7/22 Xavier KRESS - 08/07/2013
  • 8. Les principales failles de sécurité des applications web actuelles - L’importance de la sécurité applicative • L’OWASP et les kits de défense o Une communauté libre et ouverte travaillant sur la sécurité des applications Web o De nombreux projets et documents destinés à aider les développeurs à sécuriser leurs applications o o o o o o WebGoat WebScarab Zed Attack Proxy Testing Guide Code Review Guide Top Ten Application non sécurisée permettant de découvrir la sécurité par la pratique Permet d’analyser et modifier les flux HTTP envoyés et reçus par les applications Logiciel de test d’intrusion permettant de détecter des failles applicatives Guide pour les tests applicatifs Guide pour la revue de code Classement (par niveau de risque) des principales failles applicatives 8/22 Xavier KRESS - 08/07/2013
  • 9. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Les injections Violation de gestion d’authentification et de session Cross-Site Scripting (XSS) Référence directe non sécurisée à un objet Mauvaise configuration de sécurité Exposition de données sensibles Absence de contrôle d’accès aux fonctions Falsification de requête intersite (CSRF) Utilisation de composants dont la vulnérabilité est connue Redirections et renvois non validés 9/22 Xavier KRESS - 08/07/2013
  • 10. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 1. Les injections Injection de commande non prévue par le système (SQL, LDAP, XPATH …) dans les entrées de l’application (formulaires et variables d’URL). Objectifs : - lecture, suppression, altération de données. - accès au système sans authentification. Parades : - Vérification des données saisies (listes noires, liste blanche, expressions régulières…). 10/22 Xavier KRESS - 08/07/2013
  • 11. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 2. Violation de gestion d’authentification et de session Regroupe les vulnérabilités permettant à un attaquant de s’approprier l’identité d’un utilisateur. Violation de gestion d’authentification Vol de session Objectifs : - Accéder à des fonctionnalités réservées à certaines personnes. - Accéder à des données confidentielles. Parades : - Exiger des mots de passe forts. - Utiliser un système de captcha. -------------------- Utiliser les cookies pour gérer les sessions. - Définir une durée de session maximale. 11/22 Xavier KRESS - 08/07/2013
  • 12. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 3. Cross-Site Scripting (XSS) Attaque par injection, consistant à insérer du code au sein d’une application réputée fiable, pour qu’il s’exécute sur le poste client. Objectifs : - Défiguration / blocage de site. - Redirection d’utilisateurs vers un autre site. - Vol de session. Parades : - Vérifier les données en entrée. - Retraiter les données issues de la base de données avant de les afficher. 12/22 Xavier KRESS - 08/07/2013
  • 13. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 4. Référence directe non sécurisée à un objet Faille permettant à un attaquant d’accéder directement à des objets (fichiers, répertoires, enregistrements de base de données) sans autorisation. Objectifs : - Accéder à des informations confidentielles. - Prendre le contrôle d’un serveur. Parades : - Vérifier les accès à chaque ressources. - Remplacer par une valeur temporaire aléatoire (ESAPI) les références directes aux objets (ID, noms de fichiers…). 13/22 Xavier KRESS - 08/07/2013
  • 14. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 5. Mauvaise configuration de sécurité Cette faille regroupe toutes les vulnérabilités liées à des problèmes de configuration, sur tous les éléments de la couche applicative (serveurs, langage, framework, composants…). Attaque par manipulation d’URL Objectifs : - Accéder à des informations confidentielles. - Prendre le contrôle d’un serveur. Parades : - Ne pas attribuer aux composants plus de droits que nécessaire. - Etudier rigoureusement la configuration. 14/22 Xavier KRESS - 08/07/2013
  • 15. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 6. Exposition de données sensibles Cette faille regroupe toutes les vulnérabilités liées à la protection des données sensibles. Technique du grain de sel Objectifs : - Accéder à des données confidentielles. - Usurpation d’identité. Parades : - Utiliser des algorithmes de chiffrement forts. - Ne pas stocker d’informations inutiles. - Utiliser le protocole TLS sur toute la chaine. - Les clés de décryptage doivent être stockées séparément des données. 15/22 Xavier KRESS - 08/07/2013
  • 16. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 7. Absence de contrôle d’accès aux fonctions Cette faille permet à un attaquant d’accéder à des pages ou fonctions d’une application Web sans y avoir droit. Objectifs : - Exécuter des fonctionnalités sans en avoir les droits. - Accéder à des données confidentielles. Parades : - Vérifier les droits d’accès sur chaque page de l’interface et avant d’exécuter chaque fonctions (logique métier). - Par défaut, refuser les accès. 16/22 Xavier KRESS - 08/07/2013
  • 17. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 8. Falsification de requête intersite (CSRF) Cette faille consiste à exploiter la confiance qu’une application a envers ses utilisateurs en les forçant à exécuter des requêtes sur l’application sans qu’ils en soient conscients. Attaque CSRF par envoi de mail Objectifs : - Exécuter des fonctionnalités sans en avoir les droits. Parades : - Demander aux utilisateurs des confirmations avant d’exécuter des actions sensibles. - Vérifier le referer de la page. - Utiliser la technique du jeton de validité. <img src = "http://bank.com/transfer.do?acct= KRESS&amount=1000" width="1" height="1" border="0"> 17/22 Xavier KRESS - 08/07/2013
  • 18. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 9. Utilisation de composants dont la vulnérabilité est connue Cette faille concerne tous les composants utilisés pour le fonctionnement d’une application. Ils peuvent présenter des vulnérabilités et doivent faire l’objet d’une attention particulière. Objectifs : - Accéder à des données confidentielles. - Prendre le contrôle d’un serveur. Parades : - Tenir à jour une liste des composants utilisés ainsi que leur version. - Mettre à jour ces composants dès qu’une vulnérabilité est détectée et corrigée. 18/22 Xavier KRESS - 08/07/2013
  • 19. Les principales failles de sécurité des applications web actuelles - Les principales failles de sécurité applicatives 10. Redirections et renvois non validés Cette faille concerne les redirections et renvois utilisés par les applications sans validation. Objectifs : - Rediriger des utilisateurs vers des sites de phishing. - Accéder sans autorisation à une partie de l’application. Parades : - Vérifier les URL avant d’effectuer les redirections. - Utiliser des variables pour masquer les liens de redirection. - Vérifier les droits d’accès sur chaque page d’un espace privé. 19/22 Xavier KRESS - 08/07/2013
  • 20. Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Sensibiliser les développeurs o Les informer sur les failles de sécurité et les impacts métier qu’elles peuvent avoir. o Leur apprendre à mettre en place des parades pour chacune de ces failles. o La robustesse d’une application dépend de son maillon le plus faible. o Les inciter à utiliser les API et les check-lists (OWASP). o Utiliser des référentiels (OWASP, SANS TOP 25, CWE, WASC ID…) 20/22 Xavier KRESS - 08/07/2013
  • 21. Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Effectuer des tests d’intrusion et de la revue de code o Utiliser les techniques des hackers pour mieux protéger ses applications. o Les tests d’intrusion ne remplacent pas la revue de code (hashage des mots de passe, vérification d’authentification sur toutes les pages…) o Utiliser des guides (Testing guide, Code rewiew guide…) 21/22 Xavier KRESS - 08/07/2013
  • 22. Les principales failles de sécurité des applications web actuelles - Comment sécuriser son parc applicatif • Intégrer la sécurité dans la gestion de projets o La sécurité doit être appréhendée et traitée comme un processus continu. o Elle doit être intégrée à la stratégie et aux objectifs de l’entreprise. o Définition d’une politique de sécurité impliquant le management. 22/22 Xavier KRESS - 08/07/2013
  • 23. Les principales failles de sécurité des applications web actuelles Questions Xavier KRESS - 08/07/2013