Checkpoint Sécurité des frameworks Web

Human Talks Paris 8 oct 2013 Stéphanie Ouillon @steph_ouillon

Sécurité des

frameworks web Java EE

It's not a bug, it's a feature !

It's not a bug, it's a vulnerability !

+ OU - exploitable IMPACT variable

Développeur/se responsable de la

sécurité de son application

OWASP Top Ten 2013

Open Web Application Security Project

Top Ten : risques

les + critiques h"ps://www.owasp.org/index.php/Top_10_2013  

Spring Struts2 Symphony

Ruby on Rails Tapestry Hibernate Django

Framework vulnérable

== Applications vulnérables

Framework Obsolète

== VULNERABLE

Evident ?

Les bonnes raisons

Projet Long Régression Rétro-compatibilité Suivi

Report d'une vulnérabilité

Privé

Fenêtre avec risque maximum

Privé Patch framework Patch prod

Publication de la vulnérabilité

(CVE, bulletin, poc)

Très risqué

poc : proof of concept

Report d'un bug

Dernières CVE

09/13 07/13 05/13

10/12 03/12

03/13 04/13

02/13 01/13

08/12

09/13 08/13

02/13

12/12 10/12 07/12

09/12 03/12 02/12

Corrections vulnérables

OGNL (Expression Language) dans Struts2 > 10 vulnérabilités depuis 2010

Information et

Veille

Report d'une vulnérabilité

BugTraq "Vulnerabilities are often announced here first, so check frequently!" seclists.org/bugtraq

"The  best  way  to  receive  all  the                    security        announcements    is  to  subscribe    to  the  

     rails  security  mailing  list."    

Bulletin de sécurité Struts2

Pour résumer

Tenez vos frameworks et serveurs d'applications à jour ! Tenez-vous informé-e des vulnérabilités sur les technologies que vous utilisez !

Sources d'information

OWASP : owasp.org

BugTraq et mailing lists spécialisées

Soon : présentation sur la sécurité des frameworks web Java EE…