Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas.

Slides:



Advertisements
Présentations similaires
Un environnement de développement éducatif
Advertisements

19/06/02Kikiteam-ASI3n°1 / 21 Lenchere est en hausse… Forum, FAQ, Stats ! By KiKiTeam : Maxime Chambreuil, Minh LeHoai, Samy Fouilleux, Soizic Geslin.
12 règles d’ergonomie web
Possibilités de Facebook dans votre club Toastmasters Samedi, le 12 juin 2010 Michel Beaulieu
Le moteur
1. 2 Évaluer des cours en ligne cest évaluer lensemble du processus denseignement et dapprentissage. La qualité des savoirs.
Classe : …………… Nom : …………………………………… Date : ………………..
1 Comment tirer bénéfice du plus grand site de voyage JAT 2011 : Etourisme et Mtourisme Angoulême, 14 Avril 2011.
Les Prepositions.
Le developpement web  Préparé par : ASSAL Lamiae JAMALI Zakarya
1 V-Ingénierie… La compétence au service de lexigence… vous présente.
Les 3 dimensio ns de la morale et de léthique (activité)
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.
Vote électronique par internet, du 13 au 20 octobre 2011 Le nouveau cadre des élections professionnelles 2011.
LICENCE MIAGE Introduction Programmation Orientée Objet JAVA philippe
Webex.
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.
5 Verbes au passé composé 1.Jai eu avoir 2. Jai du devoir.
Gestion de la communication par établissement sur le site ville
1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Page 1 Introduction à ATEasy 3.0 Page 2 Quest ce quATEasy 3.0? n Ensemble de développement très simple demploi n Conçu pour développer des bancs de test.
Une expérience personnelle
Groupe de travail Veille collective
Collecte de données en ligne
Tice (logiciels) et aide personnalisée.
Traitements &Suppléments
LUNDI – MARDI – MERCREDI – JEUDI – VENDREDI – SAMEDI – DIMANCHE
Développement d’application web
La Saint-Valentin Par Matt Maxwell.
Projet Génie Logiciel & UML, Bases de Données & Interfaces
Détection d’intrusions
SPI - Serial Peripheral Interface
1. 2 PLAN DE LA PRÉSENTATION - SECTION 1 : Code HTML - SECTION 2.1. : CSS (Méthode 1) - SECTION 2.2. : CSS (Méthode 2) - SECTION 3 : JavaScript - SECTION.
Projet de Conception n° 5
Notre calendrier français MARS 2014
Annexe 1 VISITE SUR
C'est pour bientôt.....
CHARAL Calendrier 2007 Dit is wat mannen boeit!.
Veuillez trouver ci-joint
Projet de Master première année 2007 / 2008
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
LA GESTION COLLABORATIVE DE PROJETS Grâce aux outils du Web /03/2011 Académie de Créteil - Nadine DUDRAGNE 1.
Page 1 © Jean Elias Gagner en agilité numérique. Page 2 © Jean Elias Les fournisseurs.
L'application Social Buddies Powered by V2.5 ( )
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
LUNDI – MARDI – MERCREDI – JEUDI – VENDREDI – SAMEDI – DIMANCHE
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Page 1 © Jean Elias Recherche et veille. Page 2 © Jean Elias Les fournisseurs.
Bienvenue sur CAUTIONET l'outil On Line de gestion de caution
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
1 Modèle pédagogique d’un système d’apprentissage (SA)
Presentaion Projet IA.
10 paires -. 9 séries de 3 étuis ( n° 1 à 27 ) 9 positions à jouer 5 tables Réalisé par M..Chardon.
CALENDRIER-PLAYBOY 2020.
Outil de gestion des cartes grises
USAM BRIDGE H O W E L L -CLASSIQUE
Centre d’échange d’informations sur la Convention sur la Diversité Biologique Bienvenue dans le cours sur l’ajout d’une page web sur un site web développé.
9 paires séries de 3 étuis ( n° 1 à 27 )
Quel est l’intérêt d’utiliser le diagramme de Gantt dans la démarche de projet A partir d’un exemple concret, nous allons pouvoir exploiter plusieurs parties.
Dr. KHERRI Abdenacer 2014/ ECOLE DES HAUTES ETUDES COMMERCIALES.
1 Nestlé – Optifibre Zones administrables via le back-office.
Relevez le numéro de votre logo préféré et adressez-le à : En cas d’hésitation, vous pouvez choisir jusqu’à 3 logos. Seront pris.
France Bilodeau et Catherine Lamy 17 octobre 2014 La recherche dans les bases de données Repère, Cairn, Érudit et Google Scholar.
Tirer le meilleur parti d’Office /10/ Vincent Bippus IT/OIS 07 octobre 2014.
Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Keynote Durée: 10 minutes Antonio Fontes OWASP Suisse – Section romande.
Transcription de la présentation:

Chapter meeting 17 février HEIG-VD Yverdon-Les-Bains Code source : Soyez le premier à trouver vos failles de sécurité! Durée: 45 minutes Thomas Hofer blue-infinity (Genève, Suisse)

Qui suis-je? Thomas Hofer Consultant (blue-infinity, Genève) Compétences: – Analyse statique – Architecture de solutions – Développement (Java – Rails – PHP) OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Pourquoi ce projet? Le CERN est une cible de choix – Renom – Internet Exchange Point Mais: tout site web peut être ciblé par une attaque! Conséquences potentiellement sérieuses dune attaque – Perte de données, – Accès à des informations confidentielles, – Dommages à limage… OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Quand se soucier de sécurité? Création / Gestion – Documents – Pages Web – Machines Services Développement – Logiciels – Applications Web OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Développement et sécurité Formation (avant) Revue de code (juste après) Scan de vulnérabilités (après) OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Développement et sécurité Formation (avant) Analyse statique de code source (pendant et après) Revue de code (juste après) Scan de vulnérabilités (après) OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

La sécurité et moi Que pouvez-VOUS faire… … sans dépasser les échéances imposées? Analyse statique Le plus tôt un bug est trouvé, le moins cher il coûte! OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Analyse statique de code source Un analyseur statique de code source: Lira votre code mais: … ne lexécutera et ne le compilera pas! Cherchera des bugs et failles possibles – Sécurité – Fiabilité – Fonctionnalité OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Que peuvent-ils faire? Un analyseur statique de code source peut: Chercher des erreurs connues et communes Eventuellement, proposer des solutions Aider à trouver des bugs… Ils trouvent toutes sortes de bugs, pas uniquement liés à la sécurité OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Que ne peuvent-ils pas faire? Un analyseur statique ne peut pas: Réparer les bugs « automagiquement » Trouver TOUS les bugs (i.e. faux positifs) Ne trouver QUE des bugs (i.e. faux négatifs) OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Nos critères / Exigences Des résultats rapides Peu de fausses alertes Facilité dutilisation Au moins quelques résultats… OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Aperçu des outils sélectionnés C / C++ – Flawfinder – RATS – Coverity Python – RATS – pychecker – pylint Perl – Perl::Critic – RATS Java – FindBugs – CodePro Analyser PHP – Pixy – RATS OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Flawfinder C / C++ Freeware / Unix Appel à des fonctions communément mal utilisées codetools/flawfinder.shtml codetools/flawfinder.shtml OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

FindBugs Java Freeware / Plugin Eclipse Très flexible, possibilité de définir des règles soi-même codetools/findbugs.shtml codetools/findbugs.shtml OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

FindBugs OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

CodePro Analytix Java Freeware / Google Web Toolkit Très flexible, possibilité de définir des règles soi-même /doc/index.html /doc/index.html OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Perl::Critic perl Freeware / Unix – Module perl Best Practices: style et sécurité Demo codetools/perl_critic.shtml codetools/perl_critic.shtml OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Pixy PHP Freeware / Unix XSS & SQLi codetools/pixy.shtml codetools/pixy.shtml OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

RATS C / C++ / Perl, (et partiellement) Python, PHP Freeware Appel à des fonctions communément mal utilisées codetools/rats.shtml codetools/rats.shtml OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Agenda Des moyens simples daméliorer votre code! 1.Introduction 1.Motivation 2.Outils danalyse statique 2.Recommendations 1.Nos critères 2.Outils sélectionnés 3.Informations complémentaires OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Mais encore? « Bon, ben maintenant que jai utilisé tel outil, je suis tranquille… » Les outils ne suffisent pas! Même les meilleurs outils passeront à côté des erreurs les plus complexes! Les projets les plus sensibles méritent une revue de code « à la main »! OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

A Fool with a Tool is still a Fool! « A fool with a tool is still a fool! », D. Wheeler Lextrait de code suivant a été trouvé dans la source de RealPlayer, en (CVE ) OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb char tmp [256]; /* Flawfinder : ignore */ strcpy (tmp, pScreenSize ); /* Flawfinder : ignore */

Plus dinformations code_tools.shtml code_tools.shtml – Présentation des outils, – Conseils dinstallation, configuration et utilisation – Explication de certaines failles communes – Conseils pour le développement dapplications plus sûres… OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb

Questions? OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb © flickr.com/people/eleaf

Merci! Pour me contacter: OWASP Switzerland – Geneva Chapter HEIG-VD (Yverdon-Les-Bains) – Feb