Thomas Hofer Secure-it Valais - 17 février 2017 HES-SO Sierre

Slides:



Advertisements
Présentations similaires
Mondialiser la solidarité Une stratégie de participation sur Internet.
Advertisements

Programmation Financière (PF) Gestion financière des projets.
Reformulation  L’AFPA promoteur du projet souhaite mettre en place une application WEB afin de remplacer une solution en Java. Pour ce projet 4 mandataires.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
Les profils du SEDA confection de profil avec Agape.
Ministère de l'Écologie, du Développement durable, des Transports et du Logement Journées EOLE 23/24 Novembre 2011 Les.
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
29 Octobre P. 1 SNL Yvelines – projet de site Internet Projet de site internet à l’usage des membres actifs Présentation aux GLS.
Modèles économiques liés aux logiciels libres Association GUILDE
Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.
Nouveautés Version 4.1 et mai 2017.
Les commandes externes
Rapport « commission sportive »
Et exige qu’on y réponde.
Comment Sécuriser Le Système d’information de son entreprise
Sylvain Hamel - Analyste
Déploiement de Octopus au CISSS de la Montérégie-Ouest
Davide Canali Sr. Threat Analyst – Proofpoint Inc.
MODULE 1 Contexte des directives relatives à la VBG
Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
VOTRE COMMUNAUTÉ GLOBALE H360 VIENT TOUT JUSTE DE S'AMÉLIORER !
KeePass Introduction - Les services Conseils I6T.
PPE – Contexte Service de consultation des stages de la section STS-SIO Exploité sur le serveur Intranet Barney depuis 2005 Utilisé par les professeurs.
FENIX Aperçu GLOBALE DU Système
Veille technologique Nassima Mahcer 17 MAI 2017.
Javadoc et débogueur Semaine 03 Version A16.
Projet régional – Gouvernance et développement des connaissances
Sécurité - Configuration de l'autorisation d'Applets Java
Installer l’application depuis Google Play
Votre succès est notre but !
Virtualisation d’applications mobiles dans un réseau de Cloudlets
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
Dossier d’inscription Nom de l’équipe
GENEVA SHOW CASE 28/04/15.
Offres Viveris Systèmes
1ers pas des utilisateurs migrés
Les enjeux des Environnements numériques de travail (ENT)
GLOBAL BIODIVERSITY INFORMATION FACILITY GBIF Community Site
Rôle de la « e-participation citoyenne » dans la transformation des services publics L’expérience suisse.
PROGRAMMATION INFORMATIQUE D’INGÉNIERIE II
Introduction à l'évaluation d'accessibilité des sites Web
Point Association Mercredi 25 février 2009.
Informations vous concernant :
Technologies « Smart Manufacturing »
BALISE HTML5 <audio> : le son sur une page web
La plateforme de formation continue des personnels de l’EN
2 REFORME DU COLLEGE Application rentrée 2016
MASTER VS2i Veille Stratégique, Intelligence et Innovation Suite
FAIRE UN BLOG D'ECOLE Un exemple détaillé.
Présentation de plan de développement
Comprendre le fonctionnement d’un réseau
Serveurs d’applications
Bilan de projet pour [Nom du projet]
QU’EST-CE QUE L’ACCESSIBILITE UNIVERSELLE ?
Rapport sur le projet [Nom du projet]
Présentation de plan de développement
FABLAB IMSI THINK AND MAKE IT REAL.
ACCOUTUMANCE RÉFÉRENCES VISUELLES
Groupement d’Employeurs Profession Sport et Loisirs en Picardie
Patrick Poulingeas (CRI de Limoges)
Aboutissement du bon sens.
Classement des antivirus Gratuit ou payant ? Conclusion
Construire une séance de
Backup des Postes de Travail
Le soutien du CELV.
Séance centre patronal Paudex
Sommaire du mémoire présenté à la Commission des finances publiques sur le projet de loi # 133 Québec, le 4 avril 2011.
spécialité mathématiques Première
Transcription de la présentation:

Thomas Hofer Secure-it Valais - 17 février 2017 HES-SO Sierre WebGoat Hack the Goat Thomas Hofer Secure-it Valais - 17 février 2017 HES-SO Sierre

Bio Thomas Hofer Développement logiciel dans un contexte à fortes contraintes de sécurité. Etat de Genève, Expert technique Vote Electronique OWASP Genève, co-chapter leader sur Twitter: @thhofer par mail: thomas.hofer@owasp.org 17/02/2016 Secure-IT VS - WebGoat

Agenda Contexte Installation et utilisation Exemples Participation 17/02/2016 Secure-IT VS - WebGoat

Contexte - OWASP Open Web Application Security Project But: améliorer la sécurité des applications web Participation libre et ouverte à tous Tout est ouvert et open source Objectifs clés: fournir des outils, définir des standards et de la documention relative aux applications web Des milliers de membres actifs, répartis en sections locales et en projets 17/02/2016 Secure-IT VS - WebGoat

Contexte - WebGoat Projet de l’OWASP Qui a déjà joué avec WebGoat? Application volontairement vulnérable But éducatif (sensibilisation et formation) Mais aussi utile pour tester des produits sécurité: IPS, Firewalls, Web Application Firewalls, … Qui a déjà joué avec WebGoat? 17/02/2016 Secure-IT VS - WebGoat

Installation – Mise en garde Application vulnérable !!! Conçue de manière à limiter les risques Par défaut accessible uniquement en local A utiliser de préférence hors-ligne… Uniquement à but formatif Les techniques utilisées et expliquées ne sont pas à mettre en pratique sur d’autres sites, sauf autorisation spécifique. 17/02/2016 Secure-IT VS - WebGoat

Installation – Versions disponible Stable: WebGoat 7.1 (Novembre 2016) Utilisable et fonctionnelle Développement: WebGoat 8.0 (???) Refonte technologique assez complète Actuellement pas prête pour utilisation 17/02/2016 Secure-IT VS - WebGoat

Installation – Variantes Docker Standalone Tomcat embarqué Code source Docker: prérequis: Docker (yeah, right…) Trivial à lancer Standalone: Prérequis: Java… Tomcat embarqué Code source: Exécution possible directement depuis l’IDE Permet d’explorer le code au fur et à mesure, de résoudre certains exercices supplémentaires 17/02/2016 Secure-IT VS - WebGoat

Utilisation – vue d’ensemble D’abord montrer avec webgoat / red Puis admin / yellow – blue – green 17/02/2016 Secure-IT VS - WebGoat

Utilisation Show source Show solution Show Plan Show hints Short ZAP intro 17/02/2016 Secure-IT VS - WebGoat

Exemple 1 – Mot de passe oublié 17/02/2016 Secure-IT VS - WebGoat

Exemple 2 - Commentaires… View source, grep TODO, FIXME… 17/02/2016 Secure-IT VS - WebGoat

Exemple 3 – Falsification de logs 17/02/2016 Secure-IT VS - WebGoat

Exemple 4 – Database backdoors 17/02/2016 Secure-IT VS - WebGoat

Participation Migration technique pour v.8.0 Traduction Leçons supplémentaires 17/02/2016 Secure-IT VS - WebGoat

? Questions? thomas.hofer@owasp.org @thhofer 17/02/2016 Secure-IT VS - WebGoat

Merci. 17/02/2016 Secure-IT VS - WebGoat

Liens Projet: https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Source: 7.1: https://github.com/WebGoat/WebGoat/tree/master 8.0: https://github.com/WebGoat/WebGoat 17/02/2016 Secure-IT VS - WebGoat

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.