SlideShare a Scribd company logo

Owasp geneva-201102-trouvez vosbugslepremier

Download as PPTX, PDF
Thomas Hofer
Thomas Hofer

Kind of dates back, but it seemed to have disappeared from my slideshare uploads... These are the slides for the presentation I gave to the Geneva chapter of OWASP in February 2011, following my master's thesis.

Technology
1 of 27
Chapter meeting 17 février 2011 @ HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas Hofer Consultant @ blue-infinity (Genève, Suisse)
Qui suis-je? • Thomas Hofer • Consultant (blue-infinity, Genève) • Compétences: – Analyse statique – Architecture de solutions – Développement (Java – Rails – PHP) 2 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 3 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Pourquoi ce projet? • Le CERN est une cible de choix – Renom – Internet Exchange Point • Mais: tout site web peut être ciblé par une attaque! • Conséquences potentiellement sérieuses d’une attaque – Perte de données, – Accès à des informations confidentielles, – Dommages à l’image… 4 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Quand se soucier de sécurité? • Création / Gestion – Documents – Pages Web – Machines • Services • Développement – Logiciels – Applications Web 5 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Développement et sécurité • Formation (avant) • Revue de code (juste après) • Scan de vulnérabilités (après) 6 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Développement et sécurité • Formation (avant) • Analyse statique de code source (pendant et après) • Revue de code (juste après) • Scan de vulnérabilités (après) 7 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
La sécurité et moi • Que pouvez-VOUS faire… • … sans dépasser les échéances imposées? • Analyse statique • Le plus tôt un bug est trouvé, le moins cher il coûte! 8 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Analyse statique de code source Un analyseur statique de code source: • Lira votre code mais: … ne l’exécutera et ne le compilera pas! • Cherchera des bugs et failles possibles – Sécurité – Fiabilité – Fonctionnalité 9 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Que peuvent-ils faire? Un analyseur statique de code source peut: • Chercher des erreurs connues et communes • Eventuellement, proposer des solutions • Aider à trouver des bugs… • Ils trouvent toutes sortes de bugs, pas uniquement liés à la sécurité 10 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Que ne peuvent-ils pas faire? Un analyseur statique ne peut pas: • Réparer les bugs « automagiquement » • Trouver TOUS les bugs (i.e. faux positifs) • Ne trouver QUE des bugs (i.e. faux négatifs) 11 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 12 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Nos critères / Exigences • Des résultats rapides • Peu de fausses alertes • Facilité d’utilisation • Au moins quelques résultats… 13 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Aperçu des outils sélectionnés • C / C++ • Perl – Flawfinder – Perl::Critic – RATS – RATS – Coverity • Java • Python – FindBugs – RATS – CodePro Analyser – pychecker • PHP – pylint – Pixy – RATS OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – 14 Feb.2011
Flawfinder • C / C++ • Freeware / Unix • Appel à des fonctions communément mal utilisées • http://cern.ch/security/recommendations/en/ codetools/flawfinder.shtml 15 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
FindBugs • Java • Freeware / Plugin Eclipse • Très flexible, possibilité de définir des règles soi-même • http://cern.ch/security/recommendations/en/ codetools/findbugs.shtml 16 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
FindBugs 17 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
CodePro Analytix • Java • Freeware / Google Web Toolkit • Très flexible, possibilité de définir des règles soi-même • http://code.google.com/javadevtools/codepro /doc/index.html 18 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Perl::Critic • perl • Freeware / Unix – Module perl • Best Practices: style et sécurité • Demo • http://cern.ch/security/recommendations/en/ codetools/perl_critic.shtml 19 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Pixy • PHP • Freeware / Unix • XSS & SQLi • http://cern.ch/security/recommendations/en/ codetools/pixy.shtml 20 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
RATS • C / C++ / Perl, (et partiellement) Python, PHP • Freeware • Appel à des fonctions communément mal utilisées • http://cern.ch/security/recommendations/en/ codetools/rats.shtml 21 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 22 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Mais encore? • « Bon, ben maintenant que j’ai utilisé tel outil, je suis tranquille… » • Les outils ne suffisent pas! • Même les meilleurs outils passeront à côté des erreurs les plus complexes! • Les projets les plus sensibles méritent une revue de code « à la main »! 23 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
A Fool with a Tool is still a Fool! • « A fool with a tool is still a fool! », D. Wheeler • L’extrait de code suivant a été trouvé dans la source de RealPlayer, en 2005. (CVE-2005- 0455) char tmp [256]; /* Flawfinder : ignore */ strcpy (tmp , pScreenSize ); /* Flawfinder : ignore */ 24 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Plus d’informations • http://cern.ch/security/recommendations/en/ code_tools.shtml – Présentation des outils, – Conseils d’installation, configuration et utilisation – Explication de certaines failles communes – Conseils pour le développement d’applications plus sûres… 25 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Questions? 26 © flickr.com/people/eleaf OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
Merci! Pour me contacter: thomas.hofer@b-i.com 27 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011

Recommended

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
20131024 qualité de code et sonar - mug lyon
20131024 qualité de code et sonar - mug lyon20131024 qualité de code et sonar - mug lyon
20131024 qualité de code et sonar - mug lyonClement Bouillier
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASPCyber Security Alliance
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 

Recommended

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
20131024 qualité de code et sonar - mug lyon
20131024 qualité de code et sonar - mug lyon20131024 qualité de code et sonar - mug lyon
20131024 qualité de code et sonar - mug lyonClement Bouillier
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
La sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFLa sécurite pour les developpeurs - OWF
La sécurite pour les developpeurs - OWFChristophe Villeneuve
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASPCyber Security Alliance
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
AlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHPAlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHPjulien pauli
 
AT2010 Principes Integration Continue
AT2010 Principes Integration ContinueAT2010 Principes Integration Continue
AT2010 Principes Integration ContinueNormandy JUG
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfSadouRamdane2
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteStephane Couzinier
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Usine Logicielle 2013
Usine Logicielle 2013Usine Logicielle 2013
Usine Logicielle 2013Stéphane Liétard
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécuritéChristophe Villeneuve
 
CV KHALIL Hassen_201601
CV KHALIL Hassen_201601CV KHALIL Hassen_201601
CV KHALIL Hassen_201601Hassen Khalil
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux Alphorm
 
PHP, ce truc de vieux
PHP, ce truc de vieuxPHP, ce truc de vieux
PHP, ce truc de vieuxOlivier Mansour
 
Développement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend SearchDéveloppement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend SearchRobert Viseur
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014O10ée
 
Soirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec SonarSoirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec SonarElsassJUG
 
Agile lille 2015 devops etapres
Agile lille 2015 devops etapresAgile lille 2015 devops etapres
Agile lille 2015 devops etapresLaurent Tardif
 

More Related Content

Similar to Owasp geneva-201102-trouvez vosbugslepremier

2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
AlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHPAlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHPjulien pauli
 
AT2010 Principes Integration Continue
AT2010 Principes Integration ContinueAT2010 Principes Integration Continue
AT2010 Principes Integration ContinueNormandy JUG
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfSadouRamdane2
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteStephane Couzinier
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
CV KHALIL Hassen_201601
CV KHALIL Hassen_201601CV KHALIL Hassen_201601
CV KHALIL Hassen_201601Hassen Khalil
 
Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux Alphorm
 
Développement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend SearchDéveloppement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend SearchRobert Viseur
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014O10ée
 
Soirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec SonarSoirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec SonarElsassJUG
 
Agile lille 2015 devops etapres
Agile lille 2015 devops etapresAgile lille 2015 devops etapres
Agile lille 2015 devops etapresLaurent Tardif
 

Similar to Owasp geneva-201102-trouvez vosbugslepremier (20)

SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
AlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHPAlterWay SolutionsLinux Outils Industrialisation PHP
AlterWay SolutionsLinux Outils Industrialisation PHP
 
AT2010 Principes Integration Continue
AT2010 Principes Integration ContinueAT2010 Principes Integration Continue
AT2010 Principes Integration Continue
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdf
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverte
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Usine Logicielle 2013
Usine Logicielle 2013Usine Logicielle 2013
Usine Logicielle 2013
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
 
CV KHALIL Hassen_201601
CV KHALIL Hassen_201601CV KHALIL Hassen_201601
CV KHALIL Hassen_201601
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r Reloaded
 
Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux Alphorm.com Formation Java, les fondamentaux
Alphorm.com Formation Java, les fondamentaux
 
PHP, ce truc de vieux
PHP, ce truc de vieuxPHP, ce truc de vieux
PHP, ce truc de vieux
 
Développement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend SearchDéveloppement d'un moteur de recherche avec Zend Search
Développement d'un moteur de recherche avec Zend Search
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
 
Soirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec SonarSoirée Qualité Logicielle avec Sonar
Soirée Qualité Logicielle avec Sonar
 
Agile lille 2015 devops etapres
Agile lille 2015 devops etapresAgile lille 2015 devops etapres
Agile lille 2015 devops etapres
 

Owasp geneva-201102-trouvez vosbugslepremier

  • 1. Chapter meeting 17 février 2011 @ HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas Hofer Consultant @ blue-infinity (Genève, Suisse)
  • 2. Qui suis-je? • Thomas Hofer • Consultant (blue-infinity, Genève) • Compétences: – Analyse statique – Architecture de solutions – Développement (Java – Rails – PHP) 2 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 3. Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 3 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 4. Pourquoi ce projet? • Le CERN est une cible de choix – Renom – Internet Exchange Point • Mais: tout site web peut être ciblé par une attaque! • Conséquences potentiellement sérieuses d’une attaque – Perte de données, – Accès à des informations confidentielles, – Dommages à l’image… 4 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 5. Quand se soucier de sécurité? • Création / Gestion – Documents – Pages Web – Machines • Services • Développement – Logiciels – Applications Web 5 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 6. Développement et sécurité • Formation (avant) • Revue de code (juste après) • Scan de vulnérabilités (après) 6 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 7. Développement et sécurité • Formation (avant) • Analyse statique de code source (pendant et après) • Revue de code (juste après) • Scan de vulnérabilités (après) 7 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 8. La sécurité et moi • Que pouvez-VOUS faire… • … sans dépasser les échéances imposées? • Analyse statique • Le plus tôt un bug est trouvé, le moins cher il coûte! 8 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 9. Analyse statique de code source Un analyseur statique de code source: • Lira votre code mais: … ne l’exécutera et ne le compilera pas! • Cherchera des bugs et failles possibles – Sécurité – Fiabilité – Fonctionnalité 9 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 10. Que peuvent-ils faire? Un analyseur statique de code source peut: • Chercher des erreurs connues et communes • Eventuellement, proposer des solutions • Aider à trouver des bugs… • Ils trouvent toutes sortes de bugs, pas uniquement liés à la sécurité 10 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 11. Que ne peuvent-ils pas faire? Un analyseur statique ne peut pas: • Réparer les bugs « automagiquement » • Trouver TOUS les bugs (i.e. faux positifs) • Ne trouver QUE des bugs (i.e. faux négatifs) 11 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 12. Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 12 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 13. Nos critères / Exigences • Des résultats rapides • Peu de fausses alertes • Facilité d’utilisation • Au moins quelques résultats… 13 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 14. Aperçu des outils sélectionnés • C / C++ • Perl – Flawfinder – Perl::Critic – RATS – RATS – Coverity • Java • Python – FindBugs – RATS – CodePro Analyser – pychecker • PHP – pylint – Pixy – RATS OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – 14 Feb.2011
  • 15. Flawfinder • C / C++ • Freeware / Unix • Appel à des fonctions communément mal utilisées • http://cern.ch/security/recommendations/en/ codetools/flawfinder.shtml 15 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 16. FindBugs • Java • Freeware / Plugin Eclipse • Très flexible, possibilité de définir des règles soi-même • http://cern.ch/security/recommendations/en/ codetools/findbugs.shtml 16 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 17. FindBugs 17 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 18. CodePro Analytix • Java • Freeware / Google Web Toolkit • Très flexible, possibilité de définir des règles soi-même • http://code.google.com/javadevtools/codepro /doc/index.html 18 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 19. Perl::Critic • perl • Freeware / Unix – Module perl • Best Practices: style et sécurité • Demo • http://cern.ch/security/recommendations/en/ codetools/perl_critic.shtml 19 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 20. Pixy • PHP • Freeware / Unix • XSS & SQLi • http://cern.ch/security/recommendations/en/ codetools/pixy.shtml 20 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 21. RATS • C / C++ / Perl, (et partiellement) Python, PHP • Freeware • Appel à des fonctions communément mal utilisées • http://cern.ch/security/recommendations/en/ codetools/rats.shtml 21 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 22. Agenda Des moyens simples d’améliorer votre code! 1. Introduction 1. Motivation 2. Outils d’analyse statique 2. Recommendations 1. Nos critères 2. Outils sélectionnés 3. Informations complémentaires 22 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 23. Mais encore? • « Bon, ben maintenant que j’ai utilisé tel outil, je suis tranquille… » • Les outils ne suffisent pas! • Même les meilleurs outils passeront à côté des erreurs les plus complexes! • Les projets les plus sensibles méritent une revue de code « à la main »! 23 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 24. A Fool with a Tool is still a Fool! • « A fool with a tool is still a fool! », D. Wheeler • L’extrait de code suivant a été trouvé dans la source de RealPlayer, en 2005. (CVE-2005- 0455) char tmp [256]; /* Flawfinder : ignore */ strcpy (tmp , pScreenSize ); /* Flawfinder : ignore */ 24 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 25. Plus d’informations • http://cern.ch/security/recommendations/en/ code_tools.shtml – Présentation des outils, – Conseils d’installation, configuration et utilisation – Explication de certaines failles communes – Conseils pour le développement d’applications plus sûres… 25 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 26. Questions? 26 © flickr.com/people/eleaf OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011
  • 27. Merci! Pour me contacter: thomas.hofer@b-i.com 27 OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011