OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI



Documents pareils
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Web Application Firewalls (WAF)

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Sécurité des applications Retour d'expérience

PySQLi. Framework d'injection de code SQL

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

La Sécurité des Données en Environnement DataCenter

Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Les risques HERVE SCHAUER HSC

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Découvrir les vulnérabilités au sein des applications Web

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

Sécurité des applications web. Daniel Boteanu

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Vulnérabilités et sécurisation des applications Web

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management


Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Fermer les portes dérobées des applications réseau

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurisation d une application ASP.NET

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Attaques applicatives

Serveur Web Apache. Jean-Marc Robert Génie logiciel et des TI

Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants

Les principes de la sécurité

SQL Parser XML Xquery : Approche de détection des injections SQL

DenyAll Detect. Documentation technique 27/07/2015

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Cours 14. Crypto. 2004, Marc-André Léger

Sécurité des applications Web. Yannick Chevalier Université de Toulouse IUP NTIE M

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Formation en Logiciels Libres. Fiche d inscription

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Vulnérabilités et solutions de sécurisation des applications Web

Impression de sécurité?

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Chapitre 2 Rôles et fonctionnalités

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

PROJET D APPROFONDISSEMENT

L'écoute des conversations VoIP

Implémentation libre de Liberty Alliance. Frédéric Péters

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

SAML et services hors web

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

AccessMaster PortalXpert

Projet Viticulture - TP 3 : bases de données distantes BTS Services informatiques aux organisations

WebSSO, synchronisation et contrôle des accès via LDAP

SECURIDAY 2013 Cyber War

Sécurité des réseaux Les attaques

KASPERSKY SECURITY FOR BUSINESS

L analyse de logs. Sébastien Tricaud Groupe Resist - Toulouse 2013

Symantec Network Access Control

Protéger les données critiques de nos clients

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

BeEF : Browser Exploitation Framework

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Web : Stockage de mot de passe LOG619 Automne 2011 Olivier Bilodeau

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Sécuriser les applications web de l entreprise

Préjudices, failles, vulnérabilités et menaces

Par l'exemple de. Laurent Destailleur

Version en date du 01 avril 2010

Rapport de certification

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Single Sign-On open source avec CAS (Central Authentication Service)

SQL MAP. Etude d un logiciel SQL Injection

LA SECURITE DE LA VoIP LES PRINCIPALES FAILLES

Le Cloud Computing est-il l ennemi de la Sécurité?

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

«Evolution des menaces de sécurité et lutte contre les cyber attaques» Mathieu Vialetay, CISSP. Security Consultant, North Africa Tlemcen, juin 2013

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Transcription:

OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI

A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. A2: Violation de gestion d authentification et de session Les fonctions applicatives relatives à l'authentification et la gestion de session ne sont souvent pas mises en œuvre correctement, permettant aux attaquants de compromettre les mots de passe, clés, jetons de session, ou d'exploiter d'autres failles d'implémentation pour s'approprier les identités d'autres utilisateurs. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 2

A3: Cross-Site Scripting (XSS) Les failles XSS se produisent chaque fois qu'une application prend des données non fiables et les envoie à un browser web sans validation appropriée.xss permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l'utilisateur vers des sites malveillants. A4: Références directes non sécurisées à un objet Une référence directe à un objet se produit quand un développeur expose une référence à un objet d'exécution interne, tel un fichier, un dossier, un enregistrement de base de données, ou une clé de base de données. Sans un contrôle d'accès ou autre protection, les attaquants peuvent manipuler ces références pour accéder à des données non autorisées. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 3

A5: Mauvaise configuration de sécurité Une bonne sécurité exige d'avoir une configuration sécurisée définie et déployée pour l'application, les contextes, serveur d'application, serveur web, serveur de base de données, et la plate-forme. Tous ces paramètres doivent être définis, mis en œuvre, et maintenu afin de ne pas comprendre de failles de sécurité. Ceci inclut de maintenir tous les logiciels à jour, y compris toutes les bibliothèques de code employées par l'application. A6: Stockage cryptographique non sécurisé Beaucoup d'applications web ne protègent pas correctement les données sensibles, telles que les cartes de crédit, SSNs, lesinformations d'authentification, avec un chiffrement ou un hash approprié. Les pirates peuvent voler ou de modifier ces données faiblement protégées pour perpétrer un vol d'identité et d'autres crimes, tels que la fraude à la carte de crédit. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 4

A7: Manque de restriction d accès URL Beaucoup d'applications web vérifient les droits d'accès URL avant de rendre les liens protégés. Cependant, les applications doivent effectuer des contrôles d'accès similaires chaque fois que ces pages sont accédées, ou les attaquants seront en mesure de forger des URL pour accéder à ces pages cachées de toute façon. A8: Falsification de requête intersite (CSRF) Une attaque CSRF (CrossSiteRequestForgery) force le navigateur d'une victime authentifiée à envoyer une requête HTTP forgée, comprenant le cookie de session de la victime ainsi que toute autre information automatiquement inclue, à une application web vulnérable. Ceci permet à l'attaquant de forcer le navigateur de la victime à générer des requêtes dont l'application vulnérable pense qu'elles émanent légitiment de la victime. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 5

A9: Using Components with Known Vulnerabilities Components, such as libraries, frameworks, and other software modules, almost always run with full privileges. If a vulnerable component is exploited, such an attack can facilitate serious data loss or server takeover. Applications using components with known vulnerabilities may undermine application defenses and enable a range of possible attacks and impacts. A10: Redirections et renvois non validés Les applications web réorientent et font suivre fréquemment les utilisateurs vers d'autres pages et sites web, et utilisent des données non fiables pour déterminer les pages de destination. Sans validation appropriée, les attaquants peuvent rediriger les victimes vers des sites de phishing ou de logiciel malveillant, ou utiliser les renvois pour accéder à des pages non autorisées. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 6

n Open Web Application Security Project (OWASP) OWASP Top Ten 2013 Project n Site web: https://www.owasp.org/index.php/top_10_2013-table_of_contents Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 7

Évolution du top 10 Vulnérabilités 2013 2010 2007 A1 - Injection A1 A2 A2 - Violation d authentification A3 A7 A3 - XSS A2 A1 A4 - Références directes A4 A4 A5 - Mauvaise configuration A6 -- A6 - Stockage non sécurisé A7 A8 A7 - Restriction d accès URL A8 A10 A8 - CSRF A5 A5 A9 - Composantes vulnérables -- -- A10 - Redirections non validés A10 -- Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 8

OWASP Top 10 (2010) A9: Protection insuffisante de la couche Transport Les applications ont souvent du mal à authentifier, chiffrer et protéger la confidentialité et l'intégrité d un trafic réseau sensible. Quand elles le font, elles supportent parfois des algorithmes faibles, utilisent des certificats expirés ou invalides, ou ne les emploie pas correctement. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 9

OWASP Top 10 (2007) 2010 A3 - Malicious File Execution Code vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from users. A6 - Information Leakage and Improper Error Handling Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to steal sensitive data, or conduct more serious attacks. A9 - Insecure Communications Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications. Jean-Marc Robert, ETS MTI 719 - OWASP - A13 v1.0 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back