Bonjour, Hier a été publié la version RC1 du nouveau Top10. Grande nouveauté : on ne parle plus de vulnérabilités mais de risques dedans ! le lien : http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf A noter qu'une traduction Francaise est prévue S. -- French Chapter Leader

Je suis intervenu au Forum CERT-IST pour parler des WAF. Ma présentation est disponible sur le site de l'OWASP http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf En conclusion je ne pourrai que vous dire : Le WAF un mal nécessaire....

Bonjour les slides sont en ligne sur http://www.owasp.fr Bonne lecture

Bonjour à tous, Le Chapitre OWASP France souhaite organiser son premier meeting courant avril 2009 à Paris. Nous sollicitons la communauté pour un appel à contribution concernant • Call for Papers o 2 présentations • Timing d’environ 30mn + 10mn de Q/A par présentation • Une salle o équipée de vidéoprojecteur o proche des transports en commun • Éventuellement cocktail et petits-fours L'agenda prévu (pouvant être modifié en fonction des propositions / volontaires) est le suivant : ...

Bonjour, J'ai pu assister à la conférence OWASP AppSec NYC 2008. A ce titre je fais un compte rendu global de toutes les sessions ou j'ai assister et le compte rendu est disponible sous forme d'une page spéciale sur la communauté SecurityVibes.com => http://fr.securityvibes.com Si vous ne disposez pas d'accès à ce site, n'hésitez pas à me demander un accès et je verrai dans quelle mesure je peux vous l'obtenir. A savoir que le compte rendu est aussi disponible sur mon blog => ...

Cross Site Request Forgery est aussi connu sous l'abbréviation CSRF. Le CSRF exploite un site web pour lequel des commandes non autorisées sont transmises par un utilisateur en qui le site web à confiance... Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/10/cross-site-request-forgery-par-limage.html

Ce document s’adresse aux managers, décideurs et responsables métier qui sont en charge de la mise en place et/ou du maintien en condition opérationnelle d’un site Web Internet ou une application Web interne. Son but est de présenter les risques de sécurité propres aux technologies Web, et de décrire les bonnes pratiques en terme de gestion de projet informatique et de gestion de risques qui permettent, durant le cycle de développement et la vie de l’application, de maîtriser ces ...

Bonjour, J'inaugure quelques articles sur les excuses trouvées pour ne pas passer à la réelle sécurité applicative. Quelques questions : - Nous externalisons le développement, la société développant est donc responsable de mettre en place un code sécurisé. - On ne peut avoir d'intrusion car nos applications Web ne sont pas exposées sur Internet. - Nous avons besoin de fonctionnalités, mais n'avons pas de budgets pour des fonctions comme celles demandées par la sécurité - Il n'y a jamais ...

Dans cet article nous allons voir comment créer des PDFs malveillants en utilisant Origami. Origami est un ensemble d'outils en Ruby permettant d'analyser et de forger des documents PDF. La vidéo ci-dessous décrit succintement comment utiliser Origami pour forger un PDF malveillant ... Vous trouverez la suite de cet article sur: http://prox-ia.blogspot.com/2009/09/forger-des-pdfs-malveillants-avec.html

Les applications Web sont de plus en plus la cible d'attaques. Le WAF (Firewall Applicatif Web) permet de faire face à ces menaces. Mais qu'est-ce qu?un WAF ? Quelles sont les différences entre un Firewall réseau et un WAF ? Quels sont les cibles et les impacts des attaques Web ? Pourquoi un WAF est maintenant un élément indispensable dans mon infrastructure ? Ces questions (et d'autres) sont abordées ici : http://johanne.ulloa.org/pourquoi-un-waf.html

Bonjour à tous, je viens de découvrir l'initiative OWASP via un ami qui développe pour moi une couche de sécurisation d'un framework d'appli web. Je suis assez content des infos que l'on trouve sur OWASP. J'aurais une question à propos du hub sur viadeo: quel est son objectif? -> promouvoir OWASP en donnant quelques infos de temps en temps -> mettre en place une véritable communauté francophone sur viaduc autour de OWASP -> autre?

Bonjour à tous, notre cabinet publie chaque mois une synthèse de quelques recommandations/explications fournis par le guide OWASP. Vous pouvez accéder à ces articles directement depuis notre site Internet : http://www.xmcopartners.com/article-paiement-bancaire-securises.html http://www.xmcopartners.com/article-owasp-session.html http://www.xmcopartners.com/article-owasp-secu-session.html N'hésitez pas à nous faire part de vos remarques/suggestions. Cordialement, Yannick HAMON

>>Le meeting OWASP France numéro 0.42 est prévu le 6 Mai >>2009 dans les locaux de l'EPITA. >>Le Lieu : >>EPITA Amphi Masters (on flechera le maximum) 14-16 rue >>Voltaire 94276 Kremlin Bicêtre Cedex >>Moyens d'accès Métro >>- ligne 7 : Porte d'Italie Bus - ligne 47, 125, 131, >>185 : Roger Salengro - ligne 186 : Pierre Brossolette >>Voiture - périphérique : sortie Porte d'Italie >>L'agenda est le suivant : >> * 17h30 : Accueil des participants >> * 18h - 18h 15 : Welcome et ...

L’exigence 6.5 référence l’OWASP ainsi que le Top10 de l’OWASP. La présentation détaillera ce qu’est l’OWASP, le Top10 et comment l’OWASP peut aider à se conformer à cette exigence. L'OWASP est partenaire de l'événement et dispose d'un code coupon de réduction. Contactez moi pour en disposer. Date de l'événement : 3/2/2009 de 9:00 à 17:00 PM Hôte : PCI Global Paris Lieu : Hotel Evergreen Laurel, Levallois-Perret, France ------------------------ PCI Paris (Payment Card Industry) ...

L'OWASP sera présent à Infosecurity France Nous avons un temps de présentation sur une table ronde : http://tinyurl.com/2te929 De plus un stande sera disponible pour répondre a vos attentes. Dans l'attente de vous voir

Le résumé des sessions que j'ai suivi est en ligne sur http://www.rssi-info.fr Si d'autres personnes sont présentes, n'hésitez pas a me demander un login ou un link pour partager nos informations

Cela commence dans 2j a Amsterdam. J'y serai et en profiterai pour faire un compte rendu sur le site www.rssi-info.fr, la semaine prochaine. Je vous conseille d'aller voir www.blackhat.com pour ceux qui n'y seront pas pour voir ce que vous manquez, pour les autres, mailez moi que l'on se fasse un diner ?

Paris le 15/02/2008 L’OWASP a le plaisir de vous annoncer la création du chapitre Français de l’OWASP. Le bureau est composé de cinq experts en sécurité : • Olivier Caleff(olivier.caleff_at_owasp.fr) : Directeur Technique et Sécurité d’une des plus grandes SSII françaises • Mathieu Estrade(mathieu.estrade_at_owasp.fr) : Développeur au sein du projet libre Apache et d’une société de sécurité francaise • Romain Gaucher(romain.gaucher_at_owasp.fr) : Chercheur au NIST (National ...

Paris le 15/02/2008 L’OWASP France a le plaisir de vous annoncer la traduction en français du TOP10 2007 de l’OWASP. Le Top 10 de l'OWASP a pour but premier d'éduquer les développeurs, concepteurs, architectes et entreprises sur les conséquences des vulnérabilités de sécurité les plus communes des applications web. Le Top 10 fournit des méthodes de base pour se protéger contre ces vulnérabilités - première étape indispensable à votre programme sécurité de programmation sécurisée. Ce ...

Bonjour, Je vous informe que les Microsoft TechDays 2008 comprendront une session dédié à la sécurité des applications Web. J'en serai le speaker principal. Je vous invite donc cordialement à y participer (c'est Gratuit, chez Microsoft faut en profiter) et je suis a votre disposition si vous désirez en parler en dehors de cela L'URL : http://tinyurl.com/2ko66j Nous aborderons lors de cette conférence, l'ensemble des outils de l'OWASP qui sont a dispositions, et animeront des ...

J'ai réalisé une présentation que vous trouverez à l'URL suivante : http://tinyurl.com/yqvtuw ainsi qu'une interview sur www.vulnerabilite.com http://tinyurl.com/ynusfk Merci a Aurelien Cabezon pour cette derniere possibilité Je suis a votre disposition pour plus de détails, ainsi que des présentations/sensibilisation... sur le sujet de la sécurité Applicative (et pas juste Web...) Je serai aussi présent aux TechDays Microsoft 2008 de Février dans les conférences Web pour en parler