La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Copyright © 2008 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.

Présentations similaires


Présentation au sujet: "Copyright © 2008 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."— Transcription de la présentation:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation OWASP Sébastien OSSIR Paris le 08 Juillet 2008 Le projet OWASP

2 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Le Top 10

3 © S.Gioria && OWASP Sébastien Gioria Consultant indépendant en sécurité des systèmes dinformations. +10 ans dans le domaine de la sécurité informatique (banque, assurance, télécoms, …) Représentant Français de lassociation américaine.

4 © S.Gioria && OWASP Le constat actuel Le système dinformation souvre : Architectures orientées services Intégration de partenaires « multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, … La sécurité aujourdhui Niveau 1 : Le cable Niveau 2 : VLAN Niveau 3 : Liste de contrôle daccès Niveau 4 à 7 : Firewall, Proxy, IDS, IPS Niveau 8 : Lutilisateur

5 © S.Gioria && OWASP Making Application Security Visible 5

6 © S.Gioria && OWASP LOWASP OWASP : Open Web Application Security Project Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applications Web. Toutes les documentations, standards, outils sont fournis sous le modèle de lopen-source. Organisation : Réunion dexperts indépendants en sécurité informatique Communauté mondiale(plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. Ladhésion est gratuite et ouverte a tous En France : une association; pour supporter les problèmes juridiques francais. Le point dentrée est le wiki

7 © S.Gioria && OWASP Thank You 7 Google Trends Data for: Buffer overflow XSS

8 © S.Gioria && OWASP Organisation de lOWASP OWASP OWASP Conferences OWASP Wiki OWASP Tools OWASP Lists OWASP Books OWASP Community OWASP Governance OWASP Chapter Leaders OWASP Project Leaders OWASP Foundation (501c3) Board of Directors (Williams, Wichers, Brennan, Cruz, and Deleersnyder) Board of Advisors Operation s Director (McNamee) Technical Director (Casey)

9 © S.Gioria && OWASP Finances and Grants 9 100% OWASP Grants OWASP Foundation 55% 45%

10 © S.Gioria && OWASP 10 OWASP Is Alive! …

11 © S.Gioria && OWASP LOWASP pages vues par mois téléchargements par mois membres sur les listes utilisateurs du Wiki MAJ du Wiki par mois 110 chapitres mondiaux 100 membres individuels 48 outils/projets/documents 38 membres entreprise 25 projets fondés et soutenus dans la communauté 1 employé

12 © S.Gioria && OWASP OWASP SoC 2008 – AppSec Innovation AppSensor Teachable Static Analysis Workbench XML/WS Testing Tool AntiSamy.NET Positive Security Project JSP TagLib Tester Online Code Signing Service Access Control Rules Tester 12

13 © S.Gioria && OWASP OWASP KnowledgeBase 3,913 total articles 427 presentations 200 updates per day 179 mailing lists 180 blogs monitored 31 doc projects 19 deface attempts 12 grants

14 © S.Gioria && OWASP OWASP Tools and Technology 14 Vulnerability Scanners Static Analysis Tools Fuzzing Automated Security Verification Penetration Testing Tools Code Review Tools Manual Security Verification ESAPI Security Architecture AppSec Libraries ESAPI Reference Implementation Guards and Filters Secure Coding Reporting Tools AppSec Management Flawed Apps Learning Environments Live CD SiteGenerator AppSec Education

15 © S.Gioria && OWASP OWASP en France Un Conseil dAdministration (association loi 1901) : Président/évangéliste/relations publiques : Sébastien Gioria Vice-Président et responsable du projet de traduction : Ludovic Petit Secrétaire et Responsable Juridique : Estelle Aimé Un Bureau : Le CA Romain Gaucher : chercheur au NIST Mathieu Estrade : développeur apache

16 © S.Gioria && OWASP OWASP en France Projets : Top 10 : finalisé, marketing viral en cours Guide : En gestation SoC 2008 : divers review de projets Questionnaire a destination des RSSI sur le sujet : en cours Interventions : Infosecurity 2007 Microsoft TechDays 2008 Infosecurity 2008 Sensibilisation / Formations : Mutuelle dassurance (Java/PHP) Société dEDI (JAVA /.NET) Opérateur Téléphonie mobile (PHP) Ministère de lintérieur – SGDN Conférences dans des écoles a venir

17 © S.Gioria && OWASP Les publications Toutes les publications sont disponibles sur le site de lOWASP: Lensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les documents sont issus de différentes collaborations : Projets universitaires Recherche & développements des membres

18 © S.Gioria && OWASP Les publications majeures Le TOP 10 des vulnérabilités applicatives Le guide de conception dapplications Web sécurisées Le FAQ de la sécurité des applications Le guide « les 10 commandements sur lécriture dune application non sécurisée »

19 © S.Gioria && OWASP Les Guides 100% Libres. Issus de lexpérience de milliers dexperts à travers le monde OWASP guide Un ouvrage pour la création dapplications Web sécurisées à lintention des : Développeurs Architectes … Inclus les meilleurs pratiques dans différents langages (PHP, Java,.Net, …) Plusieurs centaines de pages OWASP Testing guide Ouvrage dédié à laudit sécurité des applications Web à lintention des pen-testeurs principalement.

20 © S.Gioria && OWASP OWASP Enterprise Security API (ESAPI) Un framework de sécurité pour les développeurs Permettre de créer une application Web Sécurisée Classes Java Disponible sur le site de lOWASP En cours de portage pour le SoC 2008 sur.NET et PHP

21 © S.Gioria && OWASP WebGoat - WebScarab WebGoat : Application Java serveur (JSP, JEEE) non sécurisés. Sert a démontrer les failles, leur principe et a éduquer WebScarab : Application Java permettant deffectuer des tests de sécurité : Sur les applications Web Sur les WebServices

22 © S.Gioria && OWASP Quelques outils Outil de génération de données aléatoires(Fuzzer) permettant dinjecter des données pour les tests JBroFuzz : Fuzzer destiné à tester les applications Web WS Fuzz : Fuzzer destiné à tester les WebServices. Sprajax Outil destiné a tester la sécurité des applications AJAX Et bien dautres :

23 © S.Gioria && OWASP Le Top 10 Liste les 10 vulnérabilités des applications Web les plus rencontrées Mis a jour tous les ans Dimportantes organisations lont adoptées dans leurs référentiels Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) – PCI/DSS Le NIST Des opérateurs Télécoms

24 © S.Gioria && OWASP Le Top 10 A1 - Cross Site Scripting (XSS) A2 – Faille d'injection A3 – Exécution de fichier malicieux A4 – Référence directe non sécurisée à un objet A5 – Falsification de requête inter-site (Cross Site Request Forgery - CSRF) A6 – Fuite d'information et traitement d'erreur incorrect A7 – Violation de gestion d'authentification et de session A8 – Stockage cryptographique non sécurisé A9 – Communications non sécurisées A10 – Manque de restriction d'accès URL

25 © S.Gioria && OWASP A1 - Principe dune attaque XSS But : Envoyer lutilisateur vers un site Web malicieux Récupérer des informations contenues dans le navigateur Principe : Mail ou lien malicieux Exécution de code dans le navigateur Récupération de données : cookies, objets(IE) Envoi des données vers lattaquant. Dangerosité : Passe outre les contrôles de sécurité (Firewall, IDS, …) Coupler à certaines attaques, cela permet daccéder au LAN

26 © S.Gioria && OWASP A1 - Les protections Effectuer une validation en profondeur : Des headers, Des cookies, Des chaînes de requêtes, Des champs de formulaires, Et aussi des champs cachés,.NET: Utilisez la bibliothèque Microsoft Anti-XSS 1.5 disponible gratuitement sur MSDN : yID=efb9c819-53ff-4f82-bfaf- e c25&DisplayLang=en yID=efb9c819-53ff-4f82-bfaf- e c25&DisplayLang=en Utiliser le projet des filtres OWASP(Java/PHP) : rs_Project

27 © S.Gioria && OWASP A2 - Injection de données (SQL, LDAP, commandes, …) But : Corrompre des données dune base, dun annuaire. Récupérer des informations sensibles dans des bases ou annuaires Exécuter des commandes sur un système distant. Principe : Par la modification de la donnée attendue, la requête daccès à une base SQL est modifiée. Dangerosité : Est-il utile de lexpliciter ?

28 © S.Gioria && OWASP A2 - Les protections Valider les données Renforcer les mécanismes du plus faible privilège. Java EE : utilisation de Spring et Hibernate.NET : utilisation de SqlCommand avec SqlParameter ou Hibernat PHP : utilisation de PDO

29 © S.Gioria && OWASP A3 - Exécution de fichier malicieux But : Installation de code sur le poste distant. Installation de rootkits Principe : Par la modification dune donnée, un fichier de commande est envoyé sur le serveur et exécuté Dangerosité : Est-il utile de lexpliciter ?

30 © S.Gioria && OWASP A5 - Cross Site Request Forgery - CSRF But : Exécuter une action non désirée par un client sur un site. Récupérer des informations internes Principe : Exécution de requêtes sur un site malveillant de façon cachée (via une iframe par ex). Dangerosité : Passe outre les firewalls/IDS Permet d'accéder au LAN Interne Pas besoin de Javascript

31 © S.Gioria && OWASP A5 - Comment se protéger Vérifier que le code est immune aux vulnérabilités XSS… Ne pas utiliser GET pour les traitements sensibles Ajouter des jetons aléatoires et uniques qui ne peuvent être envoyés automatiquement par le navigateur Pour ASP.NET, utilisez ViewStateUserKey OWASP CSRF Guard, OWASP PHP CSRF Guard,

32 © S.Gioria && OWASP A6 - Fuite dinformations But : Récupérer de linformation sur lapplication ou le système. Principe : Envoie de données provoquant une exception Dangerosité : Faible, mais néanmoins très utile pour un attaquant

33 © S.Gioria && OWASP A6 - Comment sen protéger Désactiver ou limiter la gestion des erreurs/exceptions. Modifier le traitement derreur pour quil retourne une code HTTP 200 Ok.

34 © S.Gioria && OWASP A7 - Violation de session ou dauthentification But : Obtenir un jeton de session permettant alors de se faire passer pour un autre Principe : Modification des données de type ASPSESSIONID Dangerosité : Est-il utile de lexpliciter ?

35 © S.Gioria && OWASP A7 - Protection Utiliser uniquement des mécanismes de sessions internes aux librairies ou Framework Ne pas accepter des identifiants de sessions par défaut Éviter d'utiliser ou limiter l'utilisation de cookies personnalisés pour l'authentification

36 © S.Gioria && OWASP Les attaques sur les architectures WebServices XML Bomb : Trivial à effectuer : Référence récursive à une entité du même document : Peut provoquer un déni de service !

37 © S.Gioria && OWASP Les Attaques sur les architectures WebServices Injection XML Permet de modifier les données dentrée dun WebService. Injection Xpath/Xquery Permet d'exécuter des requêtes de façon similaire à SQL XSS && Injection SQL Même principe que dans une architecture classique. Mêmes dégâts possibles ! Bombes SOAP : Attaques en dénis de services via les tableaux SOAP Bombes XML + SOAP …..

38 © S.Gioria && OWASP Les protections ultimes ? Former les développeurs au développement sécurisé ! Vérifier les données ! Tester son code ! Débrancher la prise Réseau…..

39 © S.Gioria && OWASP Q & R


Télécharger ppt "Copyright © 2008 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."

Présentations similaires


Annonces Google