Checkpoint : sécurité des frameworks web

776 views

Published on

Human Talks Paris 8 oct 2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
776
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Checkpoint : sécurité des frameworks web

  1. 1. Checkpoint Sécurité des frameworks Web Human Talks Paris 8 oct 2013 Stéphanie Ouillon @steph_ouillon
  2. 2. Sécurité des frameworks web Java EE
  3. 3. It's not a bug, it's a feature !
  4. 4. It's not a bug, it's a vulnerability !
  5. 5. + OU - exploitable IMPACT variable
  6. 6. Développeur/se responsable de la sécurité de son application
  7. 7. OWASP Top Ten 2013 OpenWeb Application Security Project Top Ten : risques les+ critiques h"ps://www.owasp.org/ index.php/Top_10_2013  
  8. 8. Spring Struts2 Symphony Ruby on Rails Tapestry Hibernate Django
  9. 9. Framework vulnérable == Applications vulnérables
  10. 10. Framework Obsolète == VULNERABLE
  11. 11. Evident ?
  12. 12. Les bonnes raisons Projet Long Régression Rétro-compatibilité Suivi
  13. 13. Report d'une vulnérabilité Privé
  14. 14. Fenêtre avec risque maximum Privé Patch framework Patch prod Publication de la vulnérabilité (CVE, bulletin, poc) Très risqué poc : proof of concept
  15. 15. Report d'un bug
  16. 16. Dernières CVE 09/13 07/13 05/13 10/12 03/12 03/13 04/13 02/13 01/13 08/12 09/13 08/13 02/13 12/12 10/12 07/12 09/12 03/12 02/12
  17. 17. Corrections vulnérables OGNL (Expression Language) dans Struts2 > 10 vulnérabilités depuis 2010
  18. 18. Information et Veille
  19. 19. Report d'une vulnérabilité BugTraq "Vulnerabilities are often announced here first, so check frequently!" seclists.org/bugtraq
  20. 20. "The  best  way  to   receive  all  the                    security        announcements     is  to  subscribe     to  the        rails  security   mailing  list."    
  21. 21. Bulletin de sécurité Struts2
  22. 22. Pour résumer Tenez vos frameworks et serveurs d'applications à jour ! Tenez-vous informé-e des vulnérabilités sur les technologies que vous utilisez !
  23. 23. Sources d'information OWASP : owasp.org BugTraq et mailing lists spécialisées Soon : présentation sur la sécurité des frameworks web Java EE…

×