Copyright © 2007 – La fondation OWASPCe document est disponible sour la license Creative Commons SA 2.5Traduction Francaise © 2007 - Sébastien GIORIA sebastien@doingsoft.fr

La fondation OWASP

OWASP

http://www.owasp.org

Trouver et combattre les causes des applications non

sécurisées

Jeff WilliamsOWASP Chairjeff.williams@owasp.org

New York/New Jersey Chapter MeetingJune 12, 2007

OWASP

Avertissement ! Les attaques XSS et CSRF

ont évoluées

Tout site que vous visitez peut infecter votre navigateur

Un navigateur infecté peut faire tout ce que vous faites

Un navigateur infecté peut scanner, infecter et propager le problème.

70-90% des applications Web sont porteuses de problèmes.

2

OWASP

Les vulnérabilités applicatives les plus courantes

http://www.owasp.org/index.php?title=Top_10_2007

OWASP

Non couvert

55%

C ouvert45%

Les outils découvrent au mieux 45% des problèmes

MITRE affirme que les outils de sécurité des différents éditeurs rassemblés ne couvrent que 45% des vulnérabilités connues (il en existe plus de 600 dans la base CWE)

MITRE n’a trouvé que peu de recoupement entre les outils, ce qui veut dire que pour découvrir 45% vous devez les utilisez tous

OWASP

Les outils et la connaissance de l’OWASP

Base de connaissance de la sécurité

applicative

Création d’applications

Sécurisées

Vérifier la sécurité de l’application

Gérer la sécuritéApplicative

Des outilsde sécuritéApplicative

Formation a la sécurité applicative

Recherche poursécuriser les

nouvelles technologies

Un guide sur la création

d’applications WEB et de webservices

sécurisés

Un guide sur les tests de sécurité

applicatifs et sur la revue de sécurité du

code

Des outils pour scanner, tester,

simuler et rapporter les problemes de sécurités des

applications WEB

Un site Web de formation

Des guides et outils pour

mesurer et gérer la sécurité applicative

Des projets de recherches sur la

sécurité des nouvelles

technologies (comme les

webservices & AJAX)

OWASP 6

La plateforme communautaire de l’OWASP

La fondation américaine OWASP (finance, législatif,, infrastructure, communications)

Plateforme Communautaire de l’OWASP(wiki, forums, mailing lists, représentants)

Projets (outils et documentations)

Chapitres (USA, UK, BE, FR)

Conférences sur la sécurité Appilicative

Acquiring andBuildingSecure

Applications

VerifyingApplication

Security

ManagingApplication

Security

ApplicationSecurity

Tools

AppSecEducation and

CBT

Research toSecure New

Technologies

Création d’applications

Sécurisées

Vérifier la sécurité de l’application

Gérer la sécuritéApplicative

Des outilsde sécuritéApplicative

Formation a la sécurité applicative

Recherche poursécuriser les

nouvelles technologies

Base de connaissance de la sécurité

applicative

OWASP 7

Les projets de l’OWASP sont vivants !

2001

2003

2005

2007

2009 …

OWASP 8

www.owasp.org (notre wiki)

OWASP

Les chiffres de l’OWASP 420,000 pages vues par mois 15,000 téléchargements par mois

(uniquement sur SourceForge) 10,000 membres sur les mailing lists 2,600 utilisateurs du wiki 1,500 mises a jour du wiki par mois 89 chapitres internationaux 75 membres individuels 38 projets d’outils et de documentation 28 membres institutionnels 25 nouveaux projets fondés graçe à travers le

“Spring of Code” 0 employés

9

OWASP

Comment aider ?

10

Mettre à jour le wiki !

Partager !

Nous pousser à faire mieux !

Devenir membre

OWASP 11

Merci de supporter l’OWASP!