Checkpoint Sécurité des frameworks Web Human Talks Paris 8 oct 2013 Stéphanie Ouillon @steph_ouillon
Jun 14, 2015
Checkpoint Sécurité des frameworks Web
Human Talks Paris 8 oct 2013 Stéphanie Ouillon @steph_ouillon
Sécurité des
frameworks web Java EE
It's not a bug, it's a feature !
It's not a bug, it's a vulnerability !
+ OU - exploitable IMPACT variable
Développeur/se responsable de la
sécurité de son application
OWASP Top Ten 2013
Open Web Application Security Project
Top Ten : risques
les + critiques h"ps://www.owasp.org/index.php/Top_10_2013
Spring Struts2 Symphony
Ruby on Rails Tapestry Hibernate Django
Framework vulnérable
== Applications vulnérables
Framework Obsolète
== VULNERABLE
Evident ?
Les bonnes raisons
Projet Long Régression Rétro-compatibilité Suivi
Report d'une vulnérabilité
Privé
Fenêtre avec risque maximum
Privé Patch framework Patch prod
Publication de la vulnérabilité
(CVE, bulletin, poc)
Très risqué
poc : proof of concept
Report d'un bug
Dernières CVE
09/13 07/13 05/13
10/12 03/12
03/13 04/13
02/13 01/13
08/12
09/13 08/13
02/13
12/12 10/12 07/12
09/12 03/12 02/12
Corrections vulnérables
OGNL (Expression Language) dans Struts2 > 10 vulnérabilités depuis 2010
Information et
Veille
Report d'une vulnérabilité
BugTraq "Vulnerabilities are often announced here first, so check frequently!" seclists.org/bugtraq
"The best way to receive all the security announcements is to subscribe to the
rails security mailing list."
Bulletin de sécurité Struts2
Pour résumer
Tenez vos frameworks et serveurs d'applications à jour ! Tenez-vous informé-e des vulnérabilités sur les technologies que vous utilisez !
Sources d'information
OWASP : owasp.org
BugTraq et mailing lists spécialisées
Soon : présentation sur la sécurité des frameworks web Java EE…