La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant.

Présentations similaires


Présentation au sujet: "A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant."— Transcription de la présentation:

1 A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant

2 Introduction Une équipe de développement peut utiliser un Framework pour se faciliter la tâche. Par contre, plus un Framework est populaire, plus il est la cible d’attaque.

3 Présentation du problème en 5 étapes Une faille est découverte. Une mise à jour se fait développer. La mise à jour sort. Les pirates regardent les détails de la mise à jour Les pirates attaquent.

4 Environnements affectés Tout les environnements peuvent être affectés, puisque la faille dépend des composants que le développeur a utilisé.

5 Exemple Sql Injection Découvert par Stefan Horst 5,1% des sites webs affecté –> environ 12 millions

6 Comment faire pour éviter cette faille Faire une liste de toutes les librairies ou composants utilisés. Consulter les sites web des éléments de la liste. Faire les mises à jours lorsqu’elle sortent. Supprimer tout composants non utilisé.

7 Sonatype Component Lifecycle Management (CLM) Un outil pour garder à jour ses composants. Identifie les composants, les versions utilisées ainsi que tout les dépendances (plugins etc..) Vérifie la sécurité de ces composants dans des bases de données publiques, vérifie les chaines de courriels des composants.

8 Conclusion Bien qu’il est plaisant d’utiliser des composants, librairies, etc… il ne faut pas se dire qu’ils sont parfait. Ils peuvent contenir des failles, ce n’est pas parce qu’elles n’ont pas été découverte ou déclarées publiquement qu’elle n’en possèdent pas.

9 Médiagraphie https://www.vaadata.com/blog/fr/comprendre-les-vulnerabilites-web-en-5-min- episode-9-utilisation-de-composants-vulnerables/ https://www.vaadata.com/blog/fr/comprendre-les-vulnerabilites-web-en-5-min- episode-9-utilisation-de-composants-vulnerables/ http://www.sonatype.com/system/resources/W1siZiIsIjIwMTMvMTEvMTkvMTYvM jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP http://www.sonatype.com/system/resources/W1siZiIsIjIwMTMvMTEvMTkvMTYvM jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities https://www.owasp.org/index.php/Top_10_2013-A9- Using_Components_with_Known_Vulnerabilities http://www.kalose.net/oss/drupal-7-drupalgeddon-exploit/


Télécharger ppt "A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant."

Présentations similaires


Annonces Google