Introduction OWASP Top 10 par Jonathan Marcil

Introduction OWASP Top 10 par Jonathan Marcil

Présentation du nouveau OWASP Top 10 2013 et introduction à OWASP. L'objectif principal du Top 10 de l'OWASP est de sensibiliser les développeurs, concepteurs, architectes, décideurs, et les entreprises aux conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque – et fournit des conseils sur la direction à suivre.

09905cce02942fb076f958f4b69fd8f6?s=128

OWASP Montréal

December 05, 2013
Tweet

Transcript

  1. Introduction OWASP Top 10 Présenté par : Jonathan Marcil jonathan.marcil@owasp.org

    Leader du chapitre OWASP Montréal
  2. Présentation • Jonathan Marcil, B. Ing. • Consultant en sécurité

    applicative • Leader du chapitre OWASP Montréal • Implications OWASP depuis plusieurs années
  3. OWASP Global • Open Web Application Security Project • Organisme

    mondial à but non lucratif • Mission de rendre visible la sécurité du logiciel • Tout est disponible librement et gratuitement
  4. OWASP en chiffres • 12 ans de services à la

    communauté • 70 pays avec 198 chapitres • 88+ citations gouvernementale et industrie – DHS, PCI-DSS, ISO, IEEE, NIST, SANS Institute, CSA, etc. • 144 projets actifs • 2000+ membres individuel et corporatif • 40 000+ abonnés listes de courriels • 320 000+ visiteurs Web unique par mois
  5. Chapitres OWASP • Réunions avec présentations – Généralement mensuelles –

    Ouvertes à tous (membres et non-membres) – Gratuites • Conférenciers locaux et internationaux – Experts techniques de l’industrie • Commanditaires – Morgan Stanley (NY/MTL), ESET (MTL), Symantec (LA)
  6. OWASP Montréal • Création en 2007 • Réunions mensuelles –

    Techniques introductions et avancées • Présences à Montréal – ConFoo, conférence techno Web – Groupes utilisateurs techniques (Java, Drupal, etc.) • Présence en ligne forte en 2013 – Présentations disponibles en direct sur @owaspmontreal
  7. OWASP Montréal • Présence forte dans les universités – ETS,

    Polytechnique, UQAM • Leaders du chapitre – 2008-.. Benoit Guérette, Philippe Gamache – 2013-.. Jonathan Marcil • Archives disponibles en ligne – https://www.owasp.org/index.php/Montréal
  8. Projets OWASP • Équipes formées par des experts volontaires –

    Aspect, TrustWave, WhiteHat, Mozilla, etc. • Code (ie. OWASP Enterprise Security API) • Outils (ie. ZAP proxy et scanner pour tests de pénétrations) • Documentations et méthodologies – OpenSAMM Software Assurance Maturity Model – OWASP Application Security Verification Standard – Application Security Guide For CISOs
  9. OWASP Top 10

  10. OWASP Top 10 • Le projet OWASP le plus visible

    • Un consensus général sur les risques les plus critiques de la sécurité applicative web • Éduquer les développeurs, concepteurs, architectes, décideurs et les entreprises • Version 2013 lancée en juin dernier – 2010, 2007, 2004 • Versions anglaise, française et autres langues
  11. OWASP Top 10 Fr A1 - Injection A1 - Injection

    A2 – Violation de Gestion d'Authentification et de Session A2 – Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A4 - Références directes non sécurisées à un objet A5 - Mauvaise configuration Sécurité A5 - Mauvaise configuration Sécurité A6 - Exposition de données sensibles A6 - Exposition de données sensibles A7 - Manque de contrôle d’accès au niveau fonctionnel A7 - Manque de contrôle d’accès au niveau fonctionnel A8 – Falsification de requête intersite (CSRF) A8 – Falsification de requête intersite (CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A9 - Utilisation de composants avec des vulnérabilités connues A10 - Redirections et renvois non validés A10 - Redirections et renvois non validés
  12. A1 - Injection Une faille d'injection, telle l'injection SQL, OS

    et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées
  13. Format d’une page TITRE DU RISQUE A# Chemin de la

    menace à l’impact Identification de la vulnérabilité Solution Exemple avec pseudo-code Références
  14. Chemin du risque • Agents de menace Spécifique à l’application

    (qui?) • Vecteurs d’attaque – Exploitabilité (comment?) • Vulnérabilité – Prévalence (combien?) – Détection (vue?) • Impacts techniques (quoi?) • Impacts d’affaires (quoi?) – Spécifique à l’application – Spécifique à l’entreprise
  15. Évaluation du risque • Basée sur la méthodologie d’évaluation des

    risques OWASP • Doit être adaptée aux réalités de votre application et/ou votre entreprise
  16. Un example

  17. A1 - Injection

  18. A1 - Injection

  19. A1 - Injection

  20. A1 - Injection

  21. A1 - Injection

  22. A1 - Injection

  23. A1 - Injection 374 pages

  24. PCI-DSS 3.0

  25. PCI-DSS 3.0

  26. Conclusion Top 10 • Utile pour sensibiliser les intervenants •

    Références vers plus de documentations • Permet de catégoriser les risques importants en sécurité applicative Web • Il existe d’autres risques additionnels à considérer en dehors du Top 10 • Gratuit et disponible en format wiki et PDF – https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  27. Autres projets • OWASP Top 10 Mobile Risks • OWASP

    ISO/IEC 27034 Application Security Controls – Objectif de convertir les risques du Top 10 en contrôles de sécurité de la norme 27034 – Basé au Québec codirigé par Luc Poulin, auteur principal de la norme et Jonathan Marcil avec OWASP Montréal
  28. Liens et références • OWASP Top 10 2013 @ AppSecUSA

    2013 – https://www.youtube.com/watch?v=bWqb3Hemepc • OWASP wiki officiel – https://www.owasp.org/ • OWASP Montréal – https://www.owasp.org/index.php/Montréal • Jonathan Marcil jonathan.marcil@owasp.org @jonathanmarcil • OWASP Top 10 2013 @ AppSecUSA 2013 – https://www.youtube.com/watch?v=bWqb3Hemepc • OWASP wiki officiel – https://www.owasp.org/ • OWASP Montréal – https://www.owasp.org/index.php/Montréal • Jonathan Marcil jonathan.marcil@owasp.org @jonathanmarcil