Présentation effectuée à Meetup Lizard Secu (avril 2019) par Christophe Villeneuve et Jean François Baillette sur "OWASP".
Une présentation pour parler de OWASP et leur rôle
2. OWASP (1/2)
●
OWASP
– Open Web Application
Security Project
●
Organisation à but non
lucratif
●
Communauté ouverte
●
Le plus connu
– Liste des risques de
sécurité
●
TOP 10
●
C’est :
– Des outils
– Des APIs
– De la documentation
– Des guides
– Des conférences
– Des blogs
– Des contenus
●
Audio / vidéo
●
Podcast
3. OWASP (2/2)
●
Guide de développement
– https://www.owasp.org/index.php/Projects/OWASP_Development_Guide
●
Guide des tests
– https://www.owasp.org/index.php/OWASP_Testing_Project
●
Revue de code
– https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
●
Exemple d'application Webgoat
– https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
●
Guide développeur
– https://www.owasp.org/index.php/OWASP_Guide_Project
4.
5. TOP 10 : OWASP (web)
A1- Failles d'injection
A2- Violation d'authentification et de Session
A3- Données sensibles accessible
A4- XML External Entity (XXE)
A5- Contrôle d'accès cassé
A6- Mauvaise configuration de sécurité
A7- Cross-Site Scripting (XSS)
A8- Désérialisation non sécurisée
A9- Utilisation de composants connus vulnérables
A10 -Gestion de log insuffisante et de monitoring
2013 2017
N MHausse Baisse Identique
NouveauBaisse Merge
A1- Failles d'injection
A2- Violation d'authentification et de Session
A3- Cross-Site Scripting (XSS)
A4- Référence directe non sécurisée à un objet
A5- Mauvaise configuration de sécurité
A6- Données sensibles accessible
A7- Manque de sécurité au niveau des rôles
A8- Falsification de requête (CSRF)
A9- Utilisation de composants connus vulnérables
A10- Redirections non validées
N
M
N
N