Viadeo - Forums OWASP

OWASP Top 10 2010 - Appel a commentaires

Sun, 15 Nov 2009 15:34:53 GMT

Bonjour,

Hier a �t� publi� la version RC1 du nouveau Top10.

Grande nouveaut� : on ne parle plus de vuln�rabilit�s mais de risques dedans !

le lien :

http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf

A noter qu'une traduction Francaise est pr�vue

French Chapter Leader

Posted by S�bastien Gioria

New member: Fabien VINCENT joined the Forum

Thu, 12 Nov 2009 23:00:00 GMT

Fabien VINCENT joined the Forum

Posted by Fabien VINCENT

New member: Nabil OUCHN joined the Forum

Mon, 12 Oct 2009 22:00:00 GMT

Nabil OUCHN joined the Forum

Posted by Nabil OUCHN

Cross Site Request Forgery par l'image!

Sat, 10 Oct 2009 12:28:22 GMT

Cross Site Request Forgery est aussi connu sous l'abbr�viation CSRF. Le CSRF exploite un site web pour lequel des commandes non autoris�es sont transmises par un utilisateur en qui le site web � confiance...

Vous trouverez la suite de cet article sur http://prox-ia.blogspot.com/2009/10/cross-site-request-forgery-par-limage.html

Posted by Philippe BITON

New member: Said HEZOUANI joined the Forum

Fri, 09 Oct 2009 22:00:00 GMT

Said HEZOUANI joined the Forum

Posted by Said HEZOUANI

Document gratuit sur la s�curit� des applications Web par le CLUSIF

Mon, 05 Oct 2009 20:13:35 GMT

Ce document s’adresse aux managers, d�cideurs et responsables m�tier qui sont en charge de la mise en place et/ou du maintien en condition op�rationnelle d’un site Web Internet ou une application Web interne. Son but est de pr�senter les risques de s�curit� propres aux technologies Web, et de d�crire les bonnes pratiques en terme de gestion de projet informatique et de gestion de risques qui permettent, durant le cycle de d�veloppement et la vie de l’application, de ma�triser ces risques.

Le document est disponible � l'URL suivante :

http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf

A propos du CLUSIF:

Le CLUSIF est un club professionnel, constitu� en association ind�pendante, ouvert � toute entreprise ou collectivit�. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d'activit� de l'�conomie.

La finalit� du CLUSIF est d'agir pour la s�curit� de l'information, facteur de p�rennit� des entreprises et des collectivit�s publiques.

Il entend ainsi sensibiliser tous les acteurs en int�grant une dimension transversale dans ses groupes de r�flexion : management des risques, droit, intelligence �conomique ...

Posted by S�bastien Gioria

New member: Gaetan SURANGKANJANAJAI joined the Forum

Tue, 22 Sep 2009 22:00:00 GMT

Gaetan SURANGKANJANAJAI joined the Forum

Posted by Gaetan SURANGKANJANAJAI

Comment convaincre le m�tier/DSI/CDP de la n�cessit� de la s�curit� applicative

Tue, 22 Sep 2009 20:14:17 GMT

Bonjour,

J'inaugure quelques articles sur les excuses trouv�es pour ne pas passer � la r�elle s�curit� applicative.

Quelques questions :

- Nous externalisons le d�veloppement, la soci�t� d�veloppant est donc responsable de mettre en place un code s�curis�.

- On ne peut avoir d'intrusion car nos applications Web ne sont pas expos�es sur Internet.

- Nous avons besoin de fonctionnalit�s, mais n'avons pas de budgets pour des fonctions comme celles demand�es par la s�curit�

- Il n'y a jamais eu de probl�mes de s�curit� dans le pass�, il n'y aura donc pas de raison d'�tre attaqu� dans le futur

- La S�curit� est un probl�me de technologie. Il y a des firewalls, la gestion des patchs et le SSL en place pour nous prot�ger.

- Pourquoi mettre de la s�curit� dans le code, je dispose d'un Web Application Firewall (WAF)!

L'ensemble de ces points va �voluer et vous �tes bien sur, les bienvenus pour participer a la r�flexion ! N'h�sitez pas � poster des "excuses" que l'on vous donne, et je tenterai d'y r�pondre au mieux.

Mon blog ou vous aurez les r�ponses=> http://blog.gioria.org/index.php?category/Owasp

Posted by S�bastien Gioria

Pourquoi un WAF ?

Thu, 10 Sep 2009 21:06:30 GMT

> Le WAF ne serait-il pas � la couche applicative ce que l'IPS/IDS est � la couche r�seau, avec un peu plus d'enrobage marketing et normatif ?

C'est bien comme �a que je le vois, avec quasiement les m�mes inconv�nients : gros co�ts de maintenance/tuning si le parc applicatif bouge, possibilit� d'identification distante et de contournement du WAF, risque de d�laisser les failles av�r�es (augmentation du d�lai de correction, moindre rigueur dans le dev ou la qualif), co�t pouvant �tre affect� � d'autres actions traitant ces probl�mes en amont, ...).

Il me semble en tout cas plus utile de sensibiliser son dev, suivre un SDLC, inclure la s�curit� dans les crit�res d'achat � des tiers, faire des "recettes" orient�es s�curit�, traiter les logs ou passer un scanner statique et/ou dynamique sur le code ... que de d�ployer un WAF ;-)

Nicolas

Posted by Nicolas GREGOIRE

Pourquoi un WAF ?

Sat, 05 Sep 2009 19:09:08 GMT

Merci pour cette pr�sentation int�ressante S�bastien.

Le WAF ne serait-il pas � la couche applicative ce que l'IPS/IDS est � la couche r�seau, avec un peu plus d'enrobage marketing et normatif ?

C'est l'impression que j'en ai en lisant les avantages & inconv�nients des versions whitelist / blacklist.. C'est � dire un bel �cran soit tout le temps au vert, soit tout le temps en rouge et qu'on finit pas ignorer tellement il contient de fausses alertes.

Posted by Farzad Farid

Forger des PDFs malveillants avec Origami

Sat, 05 Sep 2009 12:49:01 GMT

Dans cet article nous allons voir comment cr�er des PDFs malveillants en utilisant Origami. Origami est un ensemble d'outils en Ruby permettant d'analyser et de forger des documents PDF.

La vid�o ci-dessous d�crit succintement comment utiliser Origami pour forger un PDF malveillant

...

Vous trouverez la suite de cet article sur:

http://prox-ia.blogspot.com/2009/09/forger-des-pdfs-malveillants-avec.html

Posted by Philippe BITON

Pourquoi un WAF ?

Fri, 04 Sep 2009 09:21:20 GMT

Parceque que c'est un mal n�cessaire :)

Je ne suis pas d'accord totalement avec l'approche !

On peut s'en passer et tr�s bien vivre.... Pour moi le WAF offre une fausse vision de la s�curit� WEB., on ne corrige pas les failles en mettant un WAF, on cache le probl�me le plus important.

Et je suis d�sol� de dire que cela ne simplifie pas l'architecture, mais que cela la complexifie, on rajoute ENCORE un �l�ment, qu'il faut :

- tuner a chaque nouvelle application

- exploiter

- administrer

- tenir a jour

- etc...etc...

PS: et oui je sais que tu n'es pas d'accord avec moi :)

Une pr�sentation sur les WAF un peuest disponible sur mon blog :

http://blog.gioria.org/public/20090904-WAF-v0.4.pdf

Posted by S�bastien Gioria

Pourquoi un WAF ?

Thu, 03 Sep 2009 22:51:13 GMT

Les applications Web sont de plus en plus la cible d'attaques.

Le WAF (Firewall Applicatif Web) permet de faire face � ces menaces.

Mais qu'est-ce qu?un WAF ?

Quelles sont les diff�rences entre un Firewall r�seau et un WAF ?

Quels sont les cibles et les impacts des attaques Web ?

Pourquoi un WAF est maintenant un �l�ment indispensable dans mon infrastructure ?

Ces questions (et d'autres) sont abord�es ici : http://johanne.ulloa.org/pourquoi-un-waf.html

Posted by Johanne ULLOA

New member: Christophe BLAD joined the Forum

Thu, 27 Aug 2009 22:00:00 GMT

Christophe BLAD joined the Forum

Posted by Christophe BLAD

New member: Florent Empis joined the Forum

Fri, 21 Aug 2009 22:00:00 GMT

Florent Empis joined the Forum

Posted by Florent Empis

New member: Jocy Nombo joined the Forum

Thu, 06 Aug 2009 22:00:00 GMT

Jocy Nombo joined the Forum

Posted by Jocy Nombo

New member: Val�rie VOISIN joined the Forum

Sun, 26 Jul 2009 22:00:00 GMT

Val�rie VOISIN joined the Forum

Posted by Val�rie VOISIN

New member: VECTEN Sebastien joined the Forum

Fri, 26 Jun 2009 22:00:00 GMT

VECTEN Sebastien joined the Forum

Posted by VECTEN Sebastien

New member: Ravi Mishra joined the Forum

Wed, 17 Jun 2009 22:00:00 GMT

Ravi Mishra joined the Forum

Posted by Ravi Mishra

T�l�chargement Gratuit de Livres Blancs Oracle

Thu, 11 Jun 2009 09:48:17 GMT

Je vous invite � d�couvrir les livres blancs Oracle sur le site Le Monde Informatique. Wikis et applications collaboratives en entreprise, les cl�s de r�ussite de l’entreprise 2.0, la gestion de contenu et les syst�mes d’archivage, les solutions Oracle dans un univers Microsoft… figurent parmi les th�matiques des 12 livres blancs Oracle en t�l�chargement gratuit ici http://www.lemondeinformatique.fr/oracle/?utm_source=kj&utm_medium=viadeo&utm_campaign=juin_oracle&utm_nooverride=1

Voici la liste d�taill�e des livres blancs en t�l�chargement sur Le Monde Informatique :

- Wikis professionnels pour l’intervention en entreprise

- Gestion de contenu (ECM) : contenir le flux d’informations dans l’entreprise

- Gestion des informations ECS : syst�me de gestion des documents, groupware and co

- Get More from Microsoft Sharpoint with Oracle Fusion Middleware

- Information Workplace Plarforms : Oracle Vs Microsoft

- Total Economic ImpactTM of Oracle Universal Content Management

- Le Web 2.0 pour l’entreprise : les bases de la r�ussite

- L’entreprise sociale : utiliser des applications � Enterprise 2.0 � pour d�cupler la productivit� des travailleurs du savoir

- Oracle Universal Online Archive

- Oracle Webcenter Suite

- Oracle Universal Content Management

Pour les t�l�charger, rendez-vous sur : http://www.lemondeinformatique.fr/oracle/?utm_source=kj&utm_medium=viadeo&utm_campaign=juin_oracle&utm_nooverride=1

Bonne lecture � tous,

Cordialement.

Jean Royn�

Directeur Le Monde Informatique.

Posted by Jean Royn�

New member: Laurent PELAT joined the Forum

Wed, 10 Jun 2009 22:00:00 GMT

Laurent PELAT joined the Forum

Posted by Laurent PELAT

New member: Jean Royn� joined the Forum

Wed, 10 Jun 2009 22:00:00 GMT

Jean Royn� joined the Forum

Posted by Jean Royn�

Les Web Applications Firewalls (WAF)

Wed, 10 Jun 2009 21:32:50 GMT

Je suis intervenu au Forum CERT-IST pour parler des WAF.

Ma pr�sentation est disponible sur le site de l'OWASP http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf

En conclusion je ne pourrai que vous dire : Le WAF un mal n�cessaire....

Posted by S�bastien Gioria