Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Identification des failles de sécurité dans les...

Identification des failles de sécurité dans les projets-webs

Présentation effectuée à Meetup Lizard Secu (11 avril 2019) par Christophe Villeneuve sur "Identification des failles dans les projets webs".
Vous allez mieux comprendre l'importance de la sécurité dans un projet web.
Une occasion de parler dans un monde idéal, de fiction et de réalité

hellosct1

April 11, 2019
Tweet

More Decks by hellosct1

Other Decks in Programming

Transcript

  1. @hellosct1 L’équipe de rêve • Un chef de projet (technique

    et/ou fonctionnel) • Un designer / Intégrateur • Un ou des configurateur(s) • Un ou des développeurs PHP • Un lead Dev. – Si le absence chef de projet tech. • Un ou des thémeurs • Un architecte (sénior) • Un DBA • Un ou des testeurs • Option : Administrateur réseau (support) Une P. Sécurité
  2. @hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur

    Web Firewall Base de données Access Control Architecture d'une application Web
  3. @hellosct1 CRM Intranet Website Tracker Service Auth. Web Service Serveur

    Web Firewall Base de données Access Control Points sensibles pour un attaquant XSS CSRF Click Jacking XML/JSON Injection SQL Injection Direct Object Reference Token Directory Traversal Packet Sniffing Paramètre facilfication
  4. @hellosct1 Cycle d’un projet Défaut Logique métier Erreurs Sécurité Défaut

    De code Deux semaines Piratage éthique Plusieurs années de développement
  5. @hellosct1 Projet web sécurisé ? Pas sur Agile Scrum Design

    Patterns Git Integration Continue Refactoring CMS WebServices Framework Tests DDOS Hijacking SQL Botnets XSS Injection CSRF Phishing Tronjan • Réalisation d'un projet web → avec peu de sécurité
  6. @hellosct1 Au final Une fonctionnalité : - Développement - Tests

    - Contrôles - Validations Une fonctionnalité : - Développement - Tests - Contrôles - Validations Ne laissez pas un Web « sombre » grandir