Introduction OWASP Top 10 par Jonathan Marcil

Transcript

1. Introduction OWASP Top 10 Présenté par : Jonathan Marcil [email protected]

   Leader du chapitre OWASP Montréal

2. Présentation • Jonathan Marcil, B. Ing. • Consultant en sécurité

   applicative • Leader du chapitre OWASP Montréal • Implications OWASP depuis plusieurs années

3. OWASP Global • Open Web Application Security Project • Organisme

   mondial à but non lucratif • Mission de rendre visible la sécurité du logiciel • Tout est disponible librement et gratuitement

4. OWASP en chiffres • 12 ans de services à la

   communauté • 70 pays avec 198 chapitres • 88+ citations gouvernementale et industrie – DHS, PCI-DSS, ISO, IEEE, NIST, SANS Institute, CSA, etc. • 144 projets actifs • 2000+ membres individuel et corporatif • 40 000+ abonnés listes de courriels • 320 000+ visiteurs Web unique par mois

5. Chapitres OWASP • Réunions avec présentations – Généralement mensuelles –

   Ouvertes à tous (membres et non-membres) – Gratuites • Conférenciers locaux et internationaux – Experts techniques de l’industrie • Commanditaires – Morgan Stanley (NY/MTL), ESET (MTL), Symantec (LA)

6. OWASP Montréal • Création en 2007 • Réunions mensuelles –

   Techniques introductions et avancées • Présences à Montréal – ConFoo, conférence techno Web – Groupes utilisateurs techniques (Java, Drupal, etc.) • Présence en ligne forte en 2013 – Présentations disponibles en direct sur @owaspmontreal

7. OWASP Montréal • Présence forte dans les universités – ETS,

   Polytechnique, UQAM • Leaders du chapitre – 2008-.. Benoit Guérette, Philippe Gamache – 2013-.. Jonathan Marcil • Archives disponibles en ligne – https://www.owasp.org/index.php/Montréal

8. Projets OWASP • Équipes formées par des experts volontaires –

   Aspect, TrustWave, WhiteHat, Mozilla, etc. • Code (ie. OWASP Enterprise Security API) • Outils (ie. ZAP proxy et scanner pour tests de pénétrations) • Documentations et méthodologies – OpenSAMM Software Assurance Maturity Model – OWASP Application Security Verification Standard – Application Security Guide For CISOs

9. OWASP Top 10

10. OWASP Top 10 • Le projet OWASP le plus visible

    • Un consensus général sur les risques les plus critiques de la sécurité applicative web • Éduquer les développeurs, concepteurs, architectes, décideurs et les entreprises • Version 2013 lancée en juin dernier – 2010, 2007, 2004 • Versions anglaise, française et autres langues

11. OWASP Top 10 Fr A1 - Injection A1 - Injection

    A2 – Violation de Gestion d'Authentification et de Session A2 – Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A4 - Références directes non sécurisées à un objet A5 - Mauvaise configuration Sécurité A5 - Mauvaise configuration Sécurité A6 - Exposition de données sensibles A6 - Exposition de données sensibles A7 - Manque de contrôle d’accès au niveau fonctionnel A7 - Manque de contrôle d’accès au niveau fonctionnel A8 – Falsification de requête intersite (CSRF) A8 – Falsification de requête intersite (CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A9 - Utilisation de composants avec des vulnérabilités connues A10 - Redirections et renvois non validés A10 - Redirections et renvois non validés

12. A1 - Injection Une faille d'injection, telle l'injection SQL, OS

    et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées

13. Format d’une page TITRE DU RISQUE A# Chemin de la

    menace à l’impact Identification de la vulnérabilité Solution Exemple avec pseudo-code Références

14. Chemin du risque • Agents de menace Spécifique à l’application

    (qui?) • Vecteurs d’attaque – Exploitabilité (comment?) • Vulnérabilité – Prévalence (combien?) – Détection (vue?) • Impacts techniques (quoi?) • Impacts d’affaires (quoi?) – Spécifique à l’application – Spécifique à l’entreprise

15. Évaluation du risque • Basée sur la méthodologie d’évaluation des

    risques OWASP • Doit être adaptée aux réalités de votre application et/ou votre entreprise

16. Un example

17. A1 - Injection

18. A1 - Injection

19. A1 - Injection

20. A1 - Injection

21. A1 - Injection

22. A1 - Injection

23. A1 - Injection 374 pages

24. PCI-DSS 3.0

25. PCI-DSS 3.0

26. Conclusion Top 10 • Utile pour sensibiliser les intervenants •

    Références vers plus de documentations • Permet de catégoriser les risques importants en sécurité applicative Web • Il existe d’autres risques additionnels à considérer en dehors du Top 10 • Gratuit et disponible en format wiki et PDF – https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

27. Autres projets • OWASP Top 10 Mobile Risks • OWASP

    ISO/IEC 27034 Application Security Controls – Objectif de convertir les risques du Top 10 en contrôles de sécurité de la norme 27034 – Basé au Québec codirigé par Luc Poulin, auteur principal de la norme et Jonathan Marcil avec OWASP Montréal

28. Liens et références • OWASP Top 10 2013 @ AppSecUSA

    2013 – https://www.youtube.com/watch?v=bWqb3Hemepc • OWASP wiki officiel – https://www.owasp.org/ • OWASP Montréal – https://www.owasp.org/index.php/Montréal • Jonathan Marcil [email protected] @jonathanmarcil • OWASP Top 10 2013 @ AppSecUSA 2013 – https://www.youtube.com/watch?v=bWqb3Hemepc • OWASP wiki officiel – https://www.owasp.org/ • OWASP Montréal – https://www.owasp.org/index.php/Montréal • Jonathan Marcil [email protected] @jonathanmarcil