SlideShare uma empresa Scribd logo

Owasp

Christophe Villeneuve
Christophe Villeneuve

Présentation effectuée à Meetup Lizard Secu (avril 2019) par Christophe Villeneuve et Jean François Baillette sur "OWASP". Une présentation pour parler de OWASP et leur rôle

Internet
1 de 8
Baixar para ler offline
@hellosct1 @hellosct1@mamot.fr Christophe Villeneuve OWASP Lizard Secu – Meetup #1 – 10 avril 2019 Jean François Baillette @jfbaillette
OWASP (1/2) ● OWASP – Open Web Application Security Project ● Organisation à but non lucratif ● Communauté ouverte ● Le plus connu – Liste des risques de sécurité ● TOP 10 ● C’est : – Des outils – Des APIs – De la documentation – Des guides – Des conférences – Des blogs – Des contenus ● Audio / vidéo ● Podcast
OWASP (2/2) ● Guide de développement – https://www.owasp.org/index.php/Projects/OWASP_Development_Guide ● Guide des tests – https://www.owasp.org/index.php/OWASP_Testing_Project ● Revue de code – https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project ● Exemple d'application Webgoat – https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project ● Guide développeur – https://www.owasp.org/index.php/OWASP_Guide_Project
TOP 10 : OWASP (web) A1- Failles d'injection A2- Violation d'authentification et de Session A3- Données sensibles accessible A4- XML External Entity (XXE) A5- Contrôle d'accès cassé A6- Mauvaise configuration de sécurité A7- Cross-Site Scripting (XSS) A8- Désérialisation non sécurisée A9- Utilisation de composants connus vulnérables A10 -Gestion de log insuffisante et de monitoring 2013 2017 N MHausse Baisse Identique NouveauBaisse Merge A1- Failles d'injection A2- Violation d'authentification et de Session A3- Cross-Site Scripting (XSS) A4- Référence directe non sécurisée à un objet A5- Mauvaise configuration de sécurité A6- Données sensibles accessible A7- Manque de sécurité au niveau des rôles A8- Falsification de requête (CSRF) A9- Utilisation de composants connus vulnérables A10- Redirections non validées N M N N
Référentiel OWASP ● Testing guide – https://www.owasp.org/index.php/OWASP_Testing_Project ● Code review – https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project ● AppSec vérification standard – https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification _Standard_Project
Liens ● OWASP – https://www.owasp.org ● OWASP – TOP 10 – 2017 – https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
Christophe Villeneuve @hellosct1 @hellosct1@mamot.fr Jean François Baillette @jfbaillette Merci

Recomendados

Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...
Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...
Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...Paris Monitoring
 
Annonces du french scrum user group - rencontre du 24 juin 2011
Annonces du french scrum user group - rencontre du 24 juin 2011Annonces du french scrum user group - rencontre du 24 juin 2011
Annonces du french scrum user group - rencontre du 24 juin 2011Xavier Warzee
 
industrialisation en php
industrialisation en phpindustrialisation en php
industrialisation en phpChristophe Villeneuve
 
200ideas - Aperçu du contenu de l'édition 2013
200ideas - Aperçu du contenu de l'édition 2013200ideas - Aperçu du contenu de l'édition 2013
200ideas - Aperçu du contenu de l'édition 2013200ideas
 
Statspiral 12juil2012
Statspiral 12juil2012Statspiral 12juil2012
Statspiral 12juil2012Christophe Batier
 
Webinaire Isogeo - l'API v1 en lecture est sortie !
Webinaire Isogeo - l'API v1 en lecture est sortie !Webinaire Isogeo - l'API v1 en lecture est sortie !
Webinaire Isogeo - l'API v1 en lecture est sortie !Isogeo
 
Webinaire Isogeo - Extracteur automatique FME
Webinaire Isogeo - Extracteur automatique FMEWebinaire Isogeo - Extracteur automatique FME
Webinaire Isogeo - Extracteur automatique FMEClotilde Pinault
 
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...eGov Innovation Center
 

Recomendados

Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...
Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...
Présentation de l'association CFSL derrière Monitoring-fr - Paris Monitoring ...Paris Monitoring
 
Annonces du french scrum user group - rencontre du 24 juin 2011
Annonces du french scrum user group - rencontre du 24 juin 2011Annonces du french scrum user group - rencontre du 24 juin 2011
Annonces du french scrum user group - rencontre du 24 juin 2011Xavier Warzee
 
industrialisation en php
industrialisation en phpindustrialisation en php
industrialisation en phpChristophe Villeneuve
 
200ideas - Aperçu du contenu de l'édition 2013
200ideas - Aperçu du contenu de l'édition 2013200ideas - Aperçu du contenu de l'édition 2013
200ideas - Aperçu du contenu de l'édition 2013200ideas
 
Statspiral 12juil2012
Statspiral 12juil2012Statspiral 12juil2012
Statspiral 12juil2012Christophe Batier
 
Webinaire Isogeo - l'API v1 en lecture est sortie !
Webinaire Isogeo - l'API v1 en lecture est sortie !Webinaire Isogeo - l'API v1 en lecture est sortie !
Webinaire Isogeo - l'API v1 en lecture est sortie !Isogeo
 
Webinaire Isogeo - Extracteur automatique FME
Webinaire Isogeo - Extracteur automatique FMEWebinaire Isogeo - Extracteur automatique FME
Webinaire Isogeo - Extracteur automatique FMEClotilde Pinault
 
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...
Placer le citoyen au coeur de sites web publics grâce à la démarche centrée u...eGov Innovation Center
 
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMCRetour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMCLudovic A
 
Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015Maxime Chambreuil
 
Premiere
PremierePremiere
PremiereLaurent RUAUD
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Code Sprint Odoo Montréal
Code Sprint Odoo MontréalCode Sprint Odoo Montréal
Code Sprint Odoo MontréalMaxime Chambreuil
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfSadouRamdane2
 
rapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdssssrapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdsssshidaeli2001
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securiteChristophe Villeneuve
 
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm
 
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food FactsKick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food FactsStéphane Gigandet
 
Mug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogicMug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogicmug-fr
 
Alphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateurAlphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateurAlphorm
 
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience FactoVia
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019Houssam FAKIH
 
Scrum en solo
Scrum en soloScrum en solo
Scrum en soloFrench Scrum User Group
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016Antonin Savoie
 
Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013Christophe Gagin
 
Firefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 LilleFirefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 LilleChristophe Villeneuve
 
MariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLMariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLChristophe Villeneuve
 
La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxChristophe Villeneuve
 

Mais conteúdo relacionado

Semelhante a Owasp

Retour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMCRetour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMCLudovic A
 
Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015Maxime Chambreuil
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfSadouRamdane2
 
rapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdssssrapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdsssshidaeli2001
 
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm
 
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food FactsKick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food FactsStéphane Gigandet
 
Mug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogicMug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogicmug-fr
 
Alphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateurAlphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateurAlphorm
 
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience FactoVia
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019Houssam FAKIH
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016Antonin Savoie
 
Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013Christophe Gagin
 
Firefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 LilleFirefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 LilleChristophe Villeneuve
 

Semelhante a Owasp (20)

Retour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMCRetour d'expérience : Mise en place de l'ENT v4 à l'UPMC
Retour d'expérience : Mise en place de l'ENT v4 à l'UPMC
 
Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015Odoo Montréal Meetup - Odoo Experience 2015
Odoo Montréal Meetup - Odoo Experience 2015
 
Premiere
PremierePremiere
Premiere
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Code Sprint Odoo Montréal
Code Sprint Odoo MontréalCode Sprint Odoo Montréal
Code Sprint Odoo Montréal
 
josy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdfjosy-gestionparc-OCSGLPIjosy.pdf
josy-gestionparc-OCSGLPIjosy.pdf
 
rapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdssssrapport glpi partie theorique 1258dfdssss
rapport glpi partie theorique 1258dfdssss
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securite
 
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ss
 
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food FactsKick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
Kick-OFF - Coup d'envoi de la rentrée 2014 des projets d'Open Food Facts
 
Mug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogicMug-fr.org : Les ressources de la communauté MarkLogic
Mug-fr.org : Les ressources de la communauté MarkLogic
 
Alphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateurAlphorm.com support de la formation Drupal 8 webmaster configurateur
Alphorm.com support de la formation Drupal 8 webmaster configurateur
 
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
Global Azure Bootcamp 2016 - Lyon : DevOps Datascience
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019Apprendre et transmettre le savoir craft - AlpesCraft 2019
Apprendre et transmettre le savoir craft - AlpesCraft 2019
 
Scrum en solo
Scrum en soloScrum en solo
Scrum en solo
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016Apéro Afup Montpellier 11/10/2016
Apéro Afup Montpellier 11/10/2016
 
Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013Azendoo - Agile Tour Bordeaux 2013
Azendoo - Agile Tour Bordeaux 2013
 
Firefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 LilleFirefox OS dans le web - Journée du libre 2015 Lille
Firefox OS dans le web - Journée du libre 2015 Lille
 

Mais de Christophe Villeneuve

La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxChristophe Villeneuve
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webChristophe Villeneuve
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteChristophe Villeneuve
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activitesChristophe Villeneuve
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftChristophe Villeneuve
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueChristophe Villeneuve
 

Mais de Christophe Villeneuve (20)

MariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLMariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQL
 
La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans Firefox
 
pister les pisteurs
pister les pisteurspister les pisteurs
pister les pisteurs
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le web
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Mariadb une base de données NewSQL
Mariadb une base de données NewSQLMariadb une base de données NewSQL
Mariadb une base de données NewSQL
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnante
 
Pentest bus pirate
Pentest bus piratePentest bus pirate
Pentest bus pirate
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Foxfooding semaine 3
Foxfooding semaine 3Foxfooding semaine 3
Foxfooding semaine 3
 
Foxfooding
FoxfoodingFoxfooding
Foxfooding
 
Accessibilite web wcag rgaa
Accessibilite web wcag rgaaAccessibilite web wcag rgaa
Accessibilite web wcag rgaa
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activites
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et Microsoft
 
Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
Send large files with addons
Send large files with addonsSend large files with addons
Send large files with addons
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratique
 
Donnez la voix aux machines
Donnez la voix aux machinesDonnez la voix aux machines
Donnez la voix aux machines
 

Owasp

  • 1. @hellosct1 @hellosct1@mamot.fr Christophe Villeneuve OWASP Lizard Secu – Meetup #1 – 10 avril 2019 Jean François Baillette @jfbaillette
  • 2. OWASP (1/2) ● OWASP – Open Web Application Security Project ● Organisation à but non lucratif ● Communauté ouverte ● Le plus connu – Liste des risques de sécurité ● TOP 10 ● C’est : – Des outils – Des APIs – De la documentation – Des guides – Des conférences – Des blogs – Des contenus ● Audio / vidéo ● Podcast
  • 3. OWASP (2/2) ● Guide de développement – https://www.owasp.org/index.php/Projects/OWASP_Development_Guide ● Guide des tests – https://www.owasp.org/index.php/OWASP_Testing_Project ● Revue de code – https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project ● Exemple d'application Webgoat – https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project ● Guide développeur – https://www.owasp.org/index.php/OWASP_Guide_Project
  • 4.
  • 5. TOP 10 : OWASP (web) A1- Failles d'injection A2- Violation d'authentification et de Session A3- Données sensibles accessible A4- XML External Entity (XXE) A5- Contrôle d'accès cassé A6- Mauvaise configuration de sécurité A7- Cross-Site Scripting (XSS) A8- Désérialisation non sécurisée A9- Utilisation de composants connus vulnérables A10 -Gestion de log insuffisante et de monitoring 2013 2017 N MHausse Baisse Identique NouveauBaisse Merge A1- Failles d'injection A2- Violation d'authentification et de Session A3- Cross-Site Scripting (XSS) A4- Référence directe non sécurisée à un objet A5- Mauvaise configuration de sécurité A6- Données sensibles accessible A7- Manque de sécurité au niveau des rôles A8- Falsification de requête (CSRF) A9- Utilisation de composants connus vulnérables A10- Redirections non validées N M N N
  • 6. Référentiel OWASP ● Testing guide – https://www.owasp.org/index.php/OWASP_Testing_Project ● Code review – https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project ● AppSec vérification standard – https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification _Standard_Project
  • 7. Liens ● OWASP – https://www.owasp.org ● OWASP – TOP 10 – 2017 – https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf