Presentation Owasp

Présentation Sécurité
10 Février 2010
Stéphane Rainville
Sébastien Guimont
Ordre du Jour

Présentation

Mise en contexte

Social Engineering

Threat Modeling

Audit Applicatif

OWASP.ORG

Références
Statistique
80% des problèmes de sécurité sont applicatifs.
80% des budgets en sécurité sont investis en réseautique.
*Statistique de source inconnu approchant la légende urbaine

Sécurité Réseautique

Mur Pare Feu

Active Directory / LDAP

IDS

Clef RSA

VPN

VLAN

Fibre noir

Traçabilité

etc..
Sécurité Applicative

Qui est responsable?

Quel est le budget?

Quel est le suivi?

Quel est le plan de test?

Quel sont les traces?

Quel est le plan de formation?

Quel sont les métriques?
“Social Engineering”

Kevin Mitnick

KeyLogger

Baiting
InfoSecurity Europe conference


Ninety per cent of office workers at London's Waterloo Station gave away
their computer password for a cheap pen, compared with 65 per cent last
year.
SDL
Security Development Lifecycle

Secure Design

Threat Modeling

Fuzz Testing

Secure Coding

API Interdits

Cross-Site Scripting

SQL Injection

Cryptography
Threat Modeling

Examiner votre application sous différentes lentilles pour
identifier les vulnérabilités potentiels

Existe depuis 10 ans

Plusieurs méthodologies

STRIDE

Spoofing

Tampering

Repudiation

Information Disclosure

Denial of Service

Elevation of Privilege
Audit Applicatif

Qui est le responsable de la sécurité applicative?

Cahier de normes?

Quel est le plan de formation en sécurité?

Est-ce que les vulnérabilités sont répertorié?

DREAD 1 à 10

Plan de test?

Bogue de type “sécurité”

Plan de mitigation?
OWASP.ORG
Top 10 2007
1. Cross Site Scripting (XSS)
2. Failles d'injection
3. Exécution de fichier malicieux
4. Référence directe non sécurisée à un objet
5. Falsification de requête intersite (CSRF)
6. Fuite d'information / Traitement d'erreur incorrect
7. Violation de gestion d'authentification et de session
8. Stockage cryptographique non sécurisé
9. Communications non sécurisées
10. Manque de restriction d’accès URL
OWASP.ORG
Top 10 2010 rc1
1. Failles d'injection
2. Cross Site Scripting (XSS)
3. Violation de gestion d'authentification et de session
4. Référence directe non sécurisée à un objet
5. Falsification de requête intersite (CSRF)
6. Security Misconfiguration (Ajout)
7. Manque de restriction d’accès URL
8. Unvalidated Redirects and Forwards (Ajout)
9. Stockage cryptographique non sécurisé
10. Communications non sécurisées
11. Exécution de fichier malicieux (Enlever)
12. Fuite d'information / Traitement d'erreur incorrect (Enlever)
Cross Site Scripting
• Ils se produisent à chaque fois qu'une

application prend des données écrites par
l'utilisateur et les envoie à un browser web
sans avoir au préalable validé ou codé ce
contenu
Démonstration: http://localhost:8080/owasp/a1.jsp
Cross Site Scripting
Défenses
• Validation d’entrée
• Codage approprié des données produites en
sortie
– Entité HTML
– Encodage des caractères (ISO-8859-1, UTF-8)
Failles d'injection
• L'injection se produit quand des données écrites

par l'utilisateur sont envoyées à un interpréteur
en tant qu'élément faisant partie d'une
commande ou d'une requête.
Failles d'injection
Défenses
• SQL
• Utilisation de “Prepared Statements”
• Execution de commande
• Réduire les privilèges de l’application
Exécution de fichier malicieux
• Permet à des attaquants d'inclure du code et

des données hostiles, ayant pour résultat des
attaques dévastatrices, telle la compromission
totale d'un serveur.
• Affectent PHP, XML
• Toute structure qui accepte des noms de
fichiers ou des fichiers des utilisateurs
Exécution de fichier malicieux
Défenses
• Validation des noms de fichier
• Interdire l’utilisation de certaines API de PHP
• “allow_url_fopen”, “allow_url_include”, etc.
• Ajoutez des règles à vos Firewalls
• Empêcher des connections de votre application vers
d’autres applications externes
Référence directe
non sécurisée à un objet
• Se produit quand un développeur expose une
référence à un objet d'exécution interne, tel
qu'un fichier, un dossier, un enregistrement de
base de données, ou une clef, comme
paramètre d'URL ou de formulaire. Les
attaquants peuvent manipuler ces références
pour avoir accès à d'autres objets sans
autorisation
Référence directe
non sécurisée à un objet
Défenses
• Evitez d'exposer des références d'objet privé aux
utilisateurs, chaque fois que possible, tels les clés
primaires ou noms de fichiers
• Validez sans retenue toutes les références aux
objets privés, via la méthode d'acceptation des
bonnes valeurs
• Vérifiez l'autorisation à tous les objets références
Falsification de requête intersite
• Cette attaque force le navigateur d'une victime

authentifiée à envoyer une demande pré-
authentifiée à une application web vulnérable, qui
force alors le navigateur de la victime d'exécuter
une action hostile à l'avantage de l'attaquant.
Falsification de requête intersite
Défenses
• S'assurer qu'il n'y a pas de vulnérabilité de type
XSS dans l'application
• Insérer des tokens uniques et aléatoires dans
chaque formulaire et URL
Fuite d'information et
Traitement d'erreur incorrect
• Les applications peuvent involontairement
divulguer des informations sur leur configuration,
fonctionnements internes, ou violer la vie privée à
travers toute une variété de problèmes applicatifs.
Fuite d'information et
Traitement d'erreur incorrect
Défenses
• Désactivez ou limiter le traitement d'erreur
détaillé.
• Messages d'erreurs aseptisés
• Les erreurs venant de chaque couche soient
dûment vérifiées et configurées pour empêcher
les messages d'erreur d'être exploités par des
intrus.
Violation de gestion
d'authentification et de session
• Les droits d'accès aux comptes et les jetons de
session sont souvent incorrectement protégés.
Les attaquants compromettent les mots de passe,
les clefs, ou les jetons d'authentification identités
pour s'approprier les identités d'autres
utilisateurs.
Violation de gestion
d'authentification et de session
Défenses
• Aucun code “maison”
• “Remember Me” Cookie
• Page de login encrypté (SSL)
• Confirmation de login “très lent”
• Session Timeout
Stockage cryptographique non sécurisé
• Les applications utilisent rarement

correctement les fonctions cryptographiques
pour protéger les données et les droits d'accès
Stockage cryptographique non sécurisé
Défenses
• Aucun code “maison”
• Ne pas utiliser d'algorithme faible tel MD5,
SHA1, RC3 etc..
• Fichier de config encrypté ou inaccessible
Communications non sécurisées
• La plupart du temps, les applications ne chiffrent

pas le trafic réseau quand il est nécessaire de
protéger des communications sensibles.
Communications non sécurisées
Défenses
• Utilisation de SSL
• Vérifier les liens base de données
• Vérifier les liens inter-serveurs
• Fibre noir
• VPN
Manque de restriction d’accès URL
• Fréquemment, une application protège

seulement la fonctionnalité sensible en
empêchant l'affichage des liens ou des URLs
aux utilisateurs non autorisés.
• Les attaquants peuvent utiliser cette faiblesse
pour accéder et effectuer des opérations non
autorisées en accédant à ces URL directement.
Manque de restriction d’accès URL
Défenses
• Test de pénétration (automatisé)
• Architecture centralisé d'accès
Conclusions
En ordre

Les dangers réels sont internes

Pénétration par “Social Engineering”

Problèmes applicatifs

Réseautique
Les mots de passe sont une protection illusoire

http://twinturbo.org/security/top-500-worst-passwords-2008/
11% des mots de passe courant y sont présent
Sans un login “lent” une attaque au dictionnaire/Hash prend

moins de deux heures peut importe l'algorithme
Références
OWASP.ORG

http://www.owasp.org/index.php/Top_10_2007

http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf

Chapitre Montréal - http://www.owasp.org/index.php/Montréal
Logiciels

HTTPWatch / Webscarab

IBM Rational AppScan
Wikipedia

Threat Modeling
Conférences

Blackhat.com, Février 16-19, Arlington, VA
Livres

The security Developement Lifecycle

Writing Secure Code
• Questions?
• Merci

Presentation Owasp

Transféré par

Droits d'auteur :

Formats disponibles

Presentation Owasp

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Presentation Owasp

Transféré par

Droits d'auteur :

Formats disponibles

Présentation Sécurité

80% des problèmes de sécurité sont applicatifs.

80% des budgets en sécurité sont investis en réseautique.

*Statistique de source inconnu approchant la légende urbaine

InfoSecurity Europe conference

• Ils se produisent à chaque fois qu'une

• L'injection se produit quand des données écrites

• Permet à des attaquants d'inclure du code et

• Cette attaque force le navigateur d'une victime

• Les applications utilisent rarement

• La plupart du temps, les applications ne chiffrent

• Fréquemment, une application protège

Les mots de passe sont une protection illusoire

Sans un login “lent” une attaque au dictionnaire/Hash prend

Vous aimerez peut-être aussi