Human Talks Paris 8 oct 2013

1. Checkpoint
Sécurité des
frameworks Web
Human Talks Paris 8 oct 2013
Stéphanie Ouillon
@steph_ouillon

2. Sécurité des
frameworks
web
Java EE

3. It's not a bug, it's a feature !

4. It's not a bug, it's a vulnerability !

5. + OU - exploitable
IMPACT variable

6. Développeur/se
responsable de la
sécurité
de son application

7. OWASP Top Ten 2013
OpenWeb
Application
Security Project
Top Ten : risques
les+ critiques
h"ps://www.owasp.org/
index.php/Top_10_2013

8. Spring
Struts2
Symphony
Ruby on Rails
Tapestry
Hibernate
Django

9. Framework
vulnérable
==
Applications
vulnérables

10. Framework
Obsolète
==
VULNERABLE

11. Evident ?

12. Les bonnes raisons
Projet Long
Régression
Rétro-compatibilité
Suivi

13. Report d'une vulnérabilité
Privé

14. Fenêtre avec risque maximum
Privé
Patch
framework
Patch prod
Publication de la
vulnérabilité
(CVE, bulletin, poc)
Très risqué
poc : proof of concept

15. Report d'un bug

16. Dernières CVE
09/13
07/13
05/13
10/12
03/12
03/13
04/13
02/13
01/13
08/12
09/13
08/13
02/13
12/12
10/12
07/12
09/12
03/12
02/12

17. Corrections vulnérables
OGNL (Expression Language)
dans Struts2
> 10 vulnérabilités
depuis 2010

18. Information
et
Veille

19. Report d'une vulnérabilité
BugTraq
"Vulnerabilities are often
announced here first, so
check frequently!"
seclists.org/bugtraq

20. "The
best
way
to
receive
all
the
security
announcements
is
to
subscribe
to
the
rails
security
mailing
list."

21. Bulletin de sécurité Struts2

22. Pour résumer
Tenez vos frameworks et
serveurs d'applications à jour !
Tenez-vous informé-e des
vulnérabilités sur les
technologies que vous utilisez !

23. Sources d'information
OWASP : owasp.org
BugTraq et mailing lists spécialisées
Soon : présentation sur la
sécurité des frameworks web
Java EE…