22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division.

Slides:



Advertisements
Présentations similaires
Présentation des technologies SharePoint 2007
Advertisements

Les technologies décisionnelles et le portail
Botnet, défense en profondeur
Comment créer une alerte WMI ? WMI Windows Management Instrumentation Outils : SQL Server Management Studio SQL Agent Patrick Guimonet Architecte Infrastructure.
SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié
Modélisation des menaces
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
Service Software Factory François MERAND Responsable groupe architectes DPE – Division Plateformes & Ecosystème Microsoft France
SDL Trustworthy Computing Security Development Lifecycle
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.
Test et Développement Visual Studio Team System Eric Mittelette – Benjamin Gauthey – Yann Faure DevDays 2006 Equipé aujourdhui, prêt pour demain !
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
1 HPC pour les opérations. Administration Compute Cluster Server.
19 septembre 2006 Tendances Logicielles IBM Rational Data Architect Un outil complet de modélisation et de conception pour SGBD Isabelle Claverie-Berge.
Projet SeVeCom (Secure Vehicular Communications)
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
LES BONNES PRATIQUES Présentation du 31 Mars 2005
Tests et Validation du logiciel
Les Ateliers de Génie Logiciel
Eric Vernié - Microsoft Yann Faure - Bewise Etude de cas FMStocks 2000.
Formation universitaire à .NET: Visual Studio .NET
3 Booster votre productivité avec VS 2010 Arnaud FontaineEric Le Loch Spécialistes Solutions de développement.
Forum SDLC : méthodologies & indicateurs projets
Des outils pour le développement logiciel
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de lÉIE : F appliquer les conditions dapprobation F garantir leur efficacité
Connecteur Team Foundation Server Project Server
Produire des logiciels de qualité supérieure grâce à la méthodologie Agile John Bristowe Promoteur principal des développeurs Microsoft Canada.
© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.
La plateforme.NET 2.0 vue par le développeur Pascal Belaud Microsoft France SAGA.NET
Programme Microsoft IT Academy. Objectifs du programme : Fournir aux établissements et enseignants des outils pour compléter leurs cours Microsoft dans.
•Présentation de Team Edition for Database Professionals •La méthodologie •Etude de cas.
1 journée, 5 sessions, 1 réalisation.NET Enterprise Realization Day.
Le Cycle de conception Processus à suivre pour toute production Documenter le processus dans le carnet de réalisation.
Module 8 : Surveillance des performances de SQL Server
11 TFS Basic Premiers pas dans l’industrialisation! Florent Santin Le technique Access it Blaise Vignon Le marketeux Microsoft.
Comment inclure la sécurité dans vos appels d'offre ?
Application de gestion des retards
Technet Office System
L’autre façon pour gérer un parc informatique
Visio 2010 Plein les yeux 9 février 2010 Frédéric Bojman – Microsoft
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
2 TFS Basic, en route vers L’ALM 08/02/2011 Alain MartyBenoit Laut ConsultantMVP ALM BewiseBewise.
Sif Démarrage de VC++ n Démarrer -> Tous les programmes -> Microsoft Visual Studio > Microsoft Visual Studio 2005.
Alain Le Hegarat Responsable Marketing Windows Server
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
22 Lag110 : Le développement SharePoint 2010 avec Visual Studio 2010 Mardi 9 février 2010 Frédéric Wickert Partner Technical Specialist Microsoft.
Communication & Collaboration Gestion de contenu numérique Business Intelligence Solutions Office system 2007 Vos équipes Gestion de Projets Entreprise.
Module 1 : Vue d'ensemble de Microsoft SQL Server
Bernard Fedotoff Consultant.NET & Microsoft Regional Director Agilcom
virtualisation & sécurité avec Hyper-V
Sécurité des systèmes d’information: Web Security & Honeypots
Copyright, 1996 © Dale Carnegie & Associates, Inc. Com7114 Technologies de la communication Objectifs de ce cours ? Sa place dans le programme ? La communication.
Démonstration Microsoft Project Professional 2010
TP D’UML Groupe N° 3.
2 Développez en Java avec la plateforme Team Foundation Server /02/2011 – IND303 Vincent Labatut MVP Visual Studio ALM SOGETI France
2 Alain METGE SOGETI
Bulletins de Sécurité Microsoft - janvier 2008 Microsoft France Direction Technique et Sécurité.
SQL Server Management Studio Connexion d’administrateur dédiée DAC Dedicated Administrator Connection Outil : SQL Server Management Studio Patrick Guimonet.
1 Eric Mittelette Eric Vernié DPE – Microsoft France.
Rodney Buike Conseiller professionnel en TI Damir Bersinic Conseiller professionnel en TI Trois.
La plateforme.NET 2.0 vue par le développeur Pascal Belaud Microsoft France SAGA.NET
Bulletin de Sécurité Microsoft 21 Septembre 2012 – Hors-Cycle Patrick Chuzel, Philippe Vialle CSS Security EMEA Bruno Sorcelle Technical Account Manager.
La voie vers l’entreprise Mobile First
Marketing : soyez acteurs de votre apprentissage ! Laurence Chérel - Catherine Madrid1.
Veille technologique : La sécurité informatique
PRÉSENTATION AGL LES TESTS LOGICIELS LES TEST LOGICIELS 1 Mickael BETTINELLI Brandon OZIOL Gaétan PHILIPPE Simon LUAIRE.
L’APPROCHE AGILE AVEC SCRUM
Transcription de la présentation:

22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division Plateforme et Ecosystème Microsoft France

33 SDL Approche

44 SDL En bref

55 Illustration Microsoft Security Development Lifecycle (SDL)

66 Efficacité de SDL Quelques chiffres 94 % des vulnérabilités ciblées au niveau de la couche application SDL produit des améliorations de sécurité mesurables pour Microsoft Réduction des failles de sécurité de 91% dans SQL Server Réduction des failles de sécurité de 45% dans Windows Réduction des failles de sécurité de 35% dans Internet Explorer Impact majeur dans les services en ligne également Les sites non-SDL (développement tierce) ont des taux beaucoup plus élevés d'incidents de sécurité

77 SDL Principes et processus Paradigme SD 3 +C Sécurité dès la conception Sécurité par défaut Sécurité du déploiement Communications Paradigme PD 3 +C Respect de la vie privée dès la conception Respect de la vie privée par défaut Respect de la vie privée dans le déploiement

88 SDL dans le cycle de vie du projet FormationFormation Formation de base ExigencesExigences Analyse des risques sur la sécurité et le respect de la vie privée Définir de jalons de qualité ConceptionConception Modélisation des menaces Analyse de la surface d'attaque Mise en oeuvre Outils spécifiques Fonctions bannies Analyse statique VérificationVérification Tests dynamiques / par fuzzing Vérification du modèle de menaces et de la surface d'attaque PublicationPublication Plan de réponse Revue finale de sécurité Archivage RéponseRéponse Réponse à proprement parler

99 SDL et les niveaux de maturité Ou en êtes vous vs SDL et une approche sécurisé ?

10 SDL Optimisation Model

11 SDL – les outils MiniFuzz File Fuzzer Détection de bugs dans la manipulation de fichier BinScope Binary Analyzer Outil de vérification des binaires (C/C++) vs les préconisation SDL (compilateurs settings et flags) SDL Process Template for VSTS Template a intéger dans VSTS et TFS pour une gestion agile de SDL SDL Threat Modeling Tool Outil de modélisation des menaces FxCop Analyse des binaires managed vs les préconisations SDL

12 SDL – les outils SiteLock Permet de bloquer l’usage d’ActiveX a certain domaines (internet) Code Analysis for C/C++ (/analyze in Visual Studio) Flags pour le compilateur C/C++ permettant une analyse statique du code (à combiner avec les annotation SAL) Anti-Cross Site Scripting (Anti-XSS) v3 BETA Librairie d’anti cross scripting v3 Code Analysis Tool.NET (CAT.NET) v1 CTP Outil complementaire d ’analyse statique de code managé Banned.h Les fonctions (C/C++) a bannir de vos codes vs les préconisations SDL

13 Démos Des outils, c’est fait pour être démontré !

14 Ressources SDL Tools download.aspx SDL Documentation Blog M Howard

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.