WORKSHOP ! Server Side Template Injection (SSTI)

WORKSHOP ! Server Side Template Injection (SSTI)

OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web.

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python).
Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut
s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle.
Niveau : Intermédiaire
Matériel requis :
Votre portable
Votre distribution Linux/Unix de votre choix
Votre proxy Web de votre choix
Ce workshop est gratuit ! Un lunch et breuvage sont inclus.
Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.
Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.
Présentateur : Gérôme Dieu

Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité.
Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités.
Merci à Shopify pour héberger l'événement !

Ce8c366140137bd5ecf252c37dffc4ca?s=128

OWASP Montréal

February 22, 2017
Tweet