Identification des failles de sécurité dans les projets-webs

@hellosct1 @[email protected] Christophe Villeneuve projets webs Identification Lizard Secu –
Meetup #1 – 10 avril 2019

@hellosct1 Une histoire... Un monde imaginaire La fiction La réalité

Un monde imaginaire La fiction La réalité

@hellosct1 L’équipe de rêve • Un chef de projet (technique
et/ou fonctionnel) • Un designer / Intégrateur • Un ou des configurateur(s) • Un ou des développeurs PHP • Un lead Dev. – Si le absence chef de projet tech. • Un ou des thémeurs • Un architecte (sénior) • Un DBA • Un ou des testeurs • Option : Administrateur réseau (support) Une P. Sécurité

@hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur
Web Firewall Base de données Access Control Architecture d'une application Web

@hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur
Web Firewall Base de données Access Control Points sensibles pour un attaquant XSS CSRF Click Jacking XML/JSON Injection SQL Injection Direct Object Reference Token Directory Traversal Packet Sniffing Paramètre facilfication

@hellosct1 Architecture d'une application Web XXE moderne moderne Stockage Code
Quality Client Chiffrement Communication

@hellosct1 Cycle d’un projet Défaut Logique métier Erreurs Sécurité Défaut
De code Deux semaines Piratage éthique Plusieurs années de développement

@hellosct1 Projet web sécurisé ? Pas sur Agile Scrum Design
Patterns Git Integration Continue Refactoring CMS WebServices Framework Tests DDOS Hijacking SQL Botnets XSS Injection CSRF Phishing Tronjan • Réalisation d'un projet web → avec peu de sécurité

@hellosct1 Au final Une fonctionnalité : - Développement - Tests
- Contrôles - Validations Une fonctionnalité : - Développement - Tests - Contrôles - Validations Ne laissez pas un Web « sombre » grandir

Christophe Villeneuve @hellosct1 @[email protected] Merci projets webs Identification

Identification des failles de sécurité dans les projets-webs

Identification des failles de sécurité dans les projets-webs

hellosct1

More Decks by hellosct1

Other Decks in Programming

Featured

Transcript

@hellosct1 @[email protected] Christophe Villeneuve projets webs Identification Lizard Secu –

@hellosct1 Une histoire... Un monde imaginaire La fiction La réalité

Un monde imaginaire La fiction La réalité

@hellosct1 L’équipe de rêve • Un chef de projet (technique

Un monde imaginaire La fiction La réalité

@hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur

@hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur

@hellosct1 Architecture d'une application Web XXE moderne moderne Stockage Code

Un monde imaginaire La fiction La réalité

@hellosct1 Cycle d’un projet Défaut Logique métier Erreurs Sécurité Défaut

@hellosct1 Projet web sécurisé ? Pas sur Agile Scrum Design

@hellosct1 Au final Une fonctionnalité : - Développement - Tests

Christophe Villeneuve @hellosct1 @[email protected] Merci projets webs Identification