Présentation effectuée à la DEVCON #26 par Christophe Villeneuve sur "La sécurité assistée".
Cette session vous explique et vous aide à automatiser la validation de la sécurité avec les outils OWASP dans votre cycle de développement.
sur Agile Scrum Design Patterns Git Integration Continue Refactoring CMS WebServices Framework Tests DDOS Hijacking SQL Botnets XSS Injection CSRF Phishing Tronjan • Réalisation d'un projet web → avec peu de sécurité
Security Project • Organisme à but non lucratif mondial – Pour l’amélioration de la sécurité des logiciels. • Créé en 2001 • Communauté, de plus de 45000 membres • Objectif : – Informer • Les individus • Les entreprises – Sur les risques liés à la sécurité des systèmes d’information. • Propose des guides et des livres blancs des bonnes pratiques.
A1- Ruptures de contrôles d'accès A2- Défaillances chiffrements A3- Injection A4- Conception non sécurisée A5- Mauvaise configuration de sécurité A6- Composants vulnérables et obsolètes A7- Identification et authentification de mauvaise qualité A8- Manque d'intégrité des données et du logiciel A9- Carence des systèmes de contrôle et de journalisation A10-Falsification de requête côté serveur 2017 2021 N Hausse Baisse Merge Nouveau Baisse N A1- Failles d'injection A2- Violation d'authentification et de Session A3- Données sensibles accessible A4- XML External Entity (XXE) A5- Contrôle d'accès cassé A6- Mauvaise configuration de sécurité A7- Cross-Site Scripting (XSS) A8- Désérialisation non sécurisée A9- Utilisation de composants connus vulnérables A10 -Gestion de log insuffisante et de monitoring N N
Comprendre l’ensemble des familles de vulnérabilités → le TOP 10 de l’OWASP • Contenu : – Exemples de code – Avec la liste des axes de remédiation à adopter • pour protéger votre code efficacement contre chacune de ses failles. • Lien officiel – https://owasp.org/www-project-code-review-guide/
= ZED Attack Proxy • Réalisé par OWASP • Scanner de sécurité d’application Web open source • Outils – proxy open-source – Relevant la sécurité DevOps d'intégration • But – Utilisé dans les évaluations de sécurité des applications web • Interface CLI
principales : – Scanner – Fuzzer – Scan passive et active – Analyse des Nœuds opérationnel sans provenance – Scriptable – REST-API • Avec plusieurs liaisons de langue en tant que clients pré- construits • Fonctionnalité intéressante est le ZAP Heads Up Display (HUD)
de ZAP à Jenkins en premier lieu. • Améliorer la sécurité de votre application – Actuellement : en cours de développement. • Dans un cycle de développement rapide d'applications – Nouvelle version ou fonctionnalité du produit • les équipes de sécurité (pour la plupart) devaient lancer manuellement les outils DAST pour trouver les failles de sécurité dans la version. • → Résultat : Pas rapide et lent
différents outils pour – Automatiser une grande partie de ce processus. • Cela ne remplace pas une personne – qui tente physiquement de craquer votre application • cela réduira le temps que cette personne passe à gérer – les fastidieuses attaques de vulnérabilité quotidiennes.
de contrôle de débit insuffisants • Gestion inadéquate des identités et des accès • Abus de chaîne de dépendance • Exécution de pipelines empoisonnés (PPE) • PBAC insuffisant (contrôles d'accès à base de pipelines) • Hygiène d'accréditation insuffisante • Configuration du système non sécurisé • Utilisation non gouvernementale de services tiers • Validation de l'intégrité des artefacts inappropriés • Journalisation et visibilité insuffisantes https://owasp.org/www-project-top-10-ci-cd-security-risks /
hellosct1
momok47
kishikawakatsumi
uyuki234
bengo4com
izumin5210
ivargrimstad
simesaba80
akihisaikeda
koxya
kamina_zzz
javiergs
tosuri13
mclloyd
chriscoyier
afnizarnur
axbom
brad_frost
cassininazir
codingconduct
badams
elsirapls
shlominoach
stuffmc
sonatard
