La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas.

Publié parCosette Le floch Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas."— Transcription de la présentation:

1 Chapter meeting 17 février 2011 @ HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas Hofer Consultant @ blue-infinity (Genève, Suisse)

2 Qui suis-je? Thomas Hofer Consultant (blue-infinity, Genève) Compétences: – Analyse statique – Architecture de solutions – Développement (Java – Rails – PHP) OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 2

3 Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 3

4 Pourquoi ce projet? Le CERN est une cible de choix – Renom – Internet Exchange Point Mais: tout site web peut être ciblé par une attaque! Conséquences potentiellement sérieuses dune attaque – Perte de données, – Accès à des informations confidentielles, – Dommages à limage… OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 4

5 Quand se soucier de sécurité? Création / Gestion – Documents – Pages Web – Machines Services Développement – Logiciels – Applications Web OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 5

6 Développement et sécurité Formation (avant) Revue de code (juste après) Scan de vulnérabilités (après) OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 6

7 Développement et sécurité Formation (avant) Analyse statique de code source (pendant et après) Revue de code (juste après) Scan de vulnérabilités (après) OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 7

8 La sécurité et moi Que pouvez-VOUS faire… … sans dépasser les échéances imposées? Analyse statique Le plus tôt un bug est trouvé, le moins cher il coûte! OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 8

9 Analyse statique de code source Un analyseur statique de code source: Lira votre code mais: … ne lexécutera et ne le compilera pas! Cherchera des bugs et failles possibles – Sécurité – Fiabilité – Fonctionnalité OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 9

10 Que peuvent-ils faire? Un analyseur statique de code source peut: Chercher des erreurs connues et communes Eventuellement, proposer des solutions Aider à trouver des bugs… Ils trouvent toutes sortes de bugs, pas uniquement liés à la sécurité OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 10

11 Que ne peuvent-ils pas faire? Un analyseur statique ne peut pas: Réparer les bugs « automagiquement » Trouver TOUS les bugs (i.e. faux positifs) Ne trouver QUE des bugs (i.e. faux négatifs) OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 11

12 Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 12

13 Nos critères / Exigences Des résultats rapides Peu de fausses alertes Facilité dutilisation Au moins quelques résultats… OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 13

14 Aperçu des outils sélectionnés C / C++ – Flawfinder – RATS – Coverity Python – RATS – pychecker – pylint Perl – Perl::Critic – RATS Java – FindBugs – CodePro Analyser PHP – Pixy – RATS OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 14

15 Flawfinder C / C++ Freeware / Unix Appel à des fonctions communément mal utilisées http://cern.ch/security/recommendations/en/ codetools/flawfinder.shtml http://cern.ch/security/recommendations/en/ codetools/flawfinder.shtml OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 15

16 FindBugs Java Freeware / Plugin Eclipse Très flexible, possibilité de définir des règles soi-même http://cern.ch/security/recommendations/en/ codetools/findbugs.shtml http://cern.ch/security/recommendations/en/ codetools/findbugs.shtml OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 16

17 FindBugs OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 17

18 CodePro Analytix Java Freeware / Google Web Toolkit Très flexible, possibilité de définir des règles soi-même http://code.google.com/javadevtools/codepro /doc/index.html http://code.google.com/javadevtools/codepro /doc/index.html OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 18

19 Perl::Critic perl Freeware / Unix – Module perl Best Practices: style et sécurité Demo http://cern.ch/security/recommendations/en/ codetools/perl_critic.shtml http://cern.ch/security/recommendations/en/ codetools/perl_critic.shtml OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 19

20 Pixy PHP Freeware / Unix XSS & SQLi http://cern.ch/security/recommendations/en/ codetools/pixy.shtml http://cern.ch/security/recommendations/en/ codetools/pixy.shtml OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 20

21 RATS C / C++ / Perl, (et partiellement) Python, PHP Freeware Appel à des fonctions communément mal utilisées http://cern.ch/security/recommendations/en/ codetools/rats.shtml http://cern.ch/security/recommendations/en/ codetools/rats.shtml OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 21

22 Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 22

23 Mais encore? « Bon, ben maintenant que jai utilisé tel outil, je suis tranquille… » Les outils ne suffisent pas! Même les meilleurs outils passeront à côté des erreurs les plus complexes! Les projets les plus sensibles méritent une revue de code « à la main »! OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 23

24 A Fool with a Tool is still a Fool! « A fool with a tool is still a fool! », D. Wheeler Lextrait de code suivant a été trouvé dans la source de RealPlayer, en 2005. (CVE-2005- 0455) OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 24 char tmp [256]; /* Flawfinder : ignore */ strcpy (tmp, pScreenSize ); /* Flawfinder : ignore */

25 Plus dinformations http://cern.ch/security/recommendations/en/ code_tools.shtml http://cern.ch/security/recommendations/en/ code_tools.shtml – Présentation des outils, – Conseils dinstallation, configuration et utilisation – Explication de certaines failles communes – Conseils pour le développement dapplications plus sûres… OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 25

26 Questions? OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 26 © flickr.com/people/eleaf

27 Merci! Pour me contacter: thomas.hofer@b-i.com OWASP Switzerland – Geneva Chapter Meeting @ HEIG-VD (Yverdon-Les-Bains) – Feb.2011 27

Télécharger ppt "Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas."

Présentations similaires

Un environnement de développement éducatif

Un environnement de développement éducatif
19/06/02Kikiteam-ASI3n°1 / 21 Lenchere est en hausse… Forum, FAQ, Stats ! By KiKiTeam : Maxime Chambreuil, Minh LeHoai, Samy Fouilleux, Soizic Geslin.

19/06/02Kikiteam-ASI3n°1 / 21 Lenchere est en hausse… Forum, FAQ, Stats ! By KiKiTeam : Maxime Chambreuil, Minh LeHoai, Samy Fouilleux, Soizic Geslin.
12 règles d’ergonomie web

12 règles d’ergonomie web
Possibilités de Facebook dans votre club Toastmasters Samedi, le 12 juin 2010 Michel Beaulieu 514-349-6478

Possibilités de Facebook dans votre club Toastmasters Samedi, le 12 juin 2010 Michel Beaulieu
Le moteur 9 1 10 2 11 12 3 13 4 14 6 5 15 16 17 19 18 7 20 8.

Le moteur
1. 2 Évaluer des cours en ligne cest évaluer lensemble du processus denseignement et dapprentissage. La qualité des savoirs.

1. 2 Évaluer des cours en ligne cest évaluer lensemble du processus denseignement et dapprentissage. La qualité des savoirs.
Classe : …………… Nom : …………………………………… Date : ………………..

Classe : …………… Nom : …………………………………… Date : ………………..
1 Comment tirer bénéfice du plus grand site de voyage JAT 2011 : Etourisme et Mtourisme Angoulême, 14 Avril 2011.

1 Comment tirer bénéfice du plus grand site de voyage JAT 2011 : Etourisme et Mtourisme Angoulême, 14 Avril 2011.
Les Prepositions.

Les Prepositions.
Le developpement web  Préparé par : ASSAL Lamiae JAMALI Zakarya

Le developpement web  Préparé par : ASSAL Lamiae JAMALI Zakarya
1 V-Ingénierie… La compétence au service de lexigence… vous présente.

1 V-Ingénierie… La compétence au service de lexigence… vous présente.
Les 3 dimensio ns de la morale et de léthique (activité)

Les 3 dimensio ns de la morale et de léthique (activité)
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © 2007 - Sébastien GIORIA.

Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.

Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.
Vote électronique par internet, du 13 au 20 octobre 2011 Le nouveau cadre des élections professionnelles 2011.

Vote électronique par internet, du 13 au 20 octobre 2011 Le nouveau cadre des élections professionnelles 2011.
LICENCE MIAGE Introduction Programmation Orientée Objet JAVA philippe

LICENCE MIAGE Introduction Programmation Orientée Objet JAVA philippe
Webex.

Webex.
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.

MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.
5 Verbes au passé composé 1.Jai eu avoir 2. Jai du devoir.

5 Verbes au passé composé 1.Jai eu avoir 2. Jai du devoir.
Gestion de la communication par établissement sur le site ville

Gestion de la communication par établissement sur le site ville

Présentations similaires

Annonces Google