Sessions at Application Security Forum 2011 – Western Switzerland with link

Your current filters are…

Unscheduled

  • Audit d’applications PHP

    by Philippe Gamache

    Sujet : Audit statique PHP
    Abstract : Durant ce laboratoire, nous allons réaliser un audit sécurité d’une application Web en logiciel libre. L’objectif technique est de dresser un rapport complet, et d’assimiler toutes les phases du travail d’enquête : analyse boîte noire, analyse à code ouvert, analyse statique, recensement des vulnérabilités (XSS, injections, dévoilement, etc.), recommandations de renforcement, priorisation des tâches. Toutes les compétences seront mises à l’épreuve dans cet exercice complexe.
    Nous travaillerons sur une application réelle : (Application fournie par un participant, au préalable). Le laboratoire se terminera avec la remise du rapport aux auteurs de l’application pour qu’ils puissent avoir un regard extérieur sur le niveau de sécurité de l’application.

    Coverage link

  • Audit statique de code PHP

    by Philippe Gamache

    Sujet : Audit statique de code PHP
    Abstract : L’analyse de code PHP se fait le plus souvent manuellement : il faut lire le code pour le comprendre.
    L’analyse statique permet d’aller plus vite, et dans tous les recoins de l’application : elle travaille sans se lasser, exhaustivement, mais sous direction.
    Durant la session, nous mettrons en place un analyseur statique pour PHP, pour détecter automatiquement l’arbre des inclusions, les arguments jamais utilisés, les affectations de GPC, et produire un inventaire à la Prévert du code.

    Coverage link

  • CAS, OpenID, SAML : concepts, différences et exemples

    by Clément OUDOT

    Sujet : CAS, OpenID, SAML : concepts, différences et exemples
    Abstract : Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
    Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.

    Coverage link

  • Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications

    by Sébastien Pasche

    Sujet : Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications.
    Abstract : Les besoins en termes de traçabilité, de monitoring, de suivi d’environnement de production et de compatibilité avec les standards actuels sont aujourd’hui de plus en plus présents et mis en avant dans la gouvernance d’entreprise. Beaucoup de ces besoins (mitigation des risques, traçabilité des activités, reporting IT, etc.) peuvent être techniquement, en partie ou complètement, traités à l’aide de la centralisation des traces d’informations.
    La centralisation des logs est donc un sujet d’actualité, mais son implémentation est souvent complexe comme par exemple :

    Difficultés dans la récolte des traces ;

    Traces indisponibles ;

    Méthode de rapatriement ;

    Compréhension des traces ;

    etc.

    Cette formation propose de réaliser de manière simple le processus de mise en place d’un collecteur de traces. Cette démarche permet de sensibiliser les personnes aux difficultés qui peuvent être rencontrées et comment les éviter.
    Via cette formation, vous serez capable de comprendre, générer, récolter, classifier des
    traces d’informations.
    La seconde partie de cette formation s’intéresse à la partie applicative de l’approche et vise à sensibiliser les développeurs afin de prendre en considération les aspects de logging pour que leurs applications s’intègrent plus facilement dans les politiques sécuritaires des entreprises.

    Coverage link

  • Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS

    by Sebastien Gioria

    Sujet : Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS
    Abstract : L’OWASP Application Security Verification Standard(OWASP ASVS définit
    14 familles d’exigences fonctionnelles permettant de vérifier la
    sécurité d’une application Web. Nous utiliserons ce guide de l’OWASP
    pour concevoir l’application. Nous parcourrons l’ensemble des 14
    familles et verront comment concrètement coder les bonnes pratiques et
    surtout éviter les mauvaises pratiques de développements Java.
    Chacun des participants disposera d’un exemplaire de l’OWASP ASVS.

    Coverage link

  • Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience

    Sujet : Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience.
    Abstract :

    Développement applicatif: parent pauvre de la sécurité de l’information.

    Intégrer la sécurité dans le développement applicatif.

    Sécuriser un développement pour smartphone.

    Coverage link

  • Développement sécurisé d’applications pour terminaux iOS

    Sujet:
    Développement sécurisé d’applications pour terminaux iOS.

    Abstract:
    Le monde des smartphones a connu une forte croissance ces dernières années et ce notamment via l’iPhone et plus récemment l’iPad. Les utilisateurs y stockent une part de plus en plus importante de leur vie privée et le nombre d’applications est sans cesse croissant.

    Bien que le framework de développement et le langage Objective-C restreignent les actions du développeur, des erreurs peuvent produire des vulnérabilités. Cette formation a ainsi pour but de présenter les bonnes pratiques, coté sécurité, lors du développement d’applications pour la plateforme iOS. Les points suivants y sont couvert:
    * implémentation de protocoles
    * connexions sécurisées
    * stockage sécurisé des données
    * IPC
    * PUSH notifications
    * utilisation de contrôleur de navigation
    * vulnérabilités permettant l’exécution de code

    Connaissances techniques:
    Développement d’applications iOS.

    Coverage link

  • Développement sécurisé d’applications sur dispositifs mobiles

    Sujet : Développement sécurisé d’applications sur dispositifs mobiles
    Abstract : Suite à la démocratisation des technologies mobiles, de plus en plus de personnes utilisent un Smartphone ou une tablette pour accéder en tout temps à l’ensemble de leurs informations. Cela représente une excellente opportunité pour les entreprises qui fournissent des applications mobiles pour accéder à leurs services. Dans un premier temps, cet accès a souvent été limité à des données considérées comme non confidentielles. Puis, fort du succès de ces application et suivant leur stratégie mobile, plusieurs de ces entreprises souhaitent maintenant étendre l’accès à des données sensibles. Cependant, avant de développer une telle application, il est nécessaire de comprendre le fonctionnement d’un système d’exploitation mobile ainsi que les menaces et vulnérabilités potentielles pour déterminer les contre-mesures à implémenter.
    A cet effet, la présente conférence vise à réaliser une modélisation des menaces sur un système d’exploitation mobile et à décortiquer son fonctionnement. L’objectif est de mettre en évidence les parties critiques, telles que le stockage d’information, la gestion des identités numériques, les communications ainsi que les caches systèmes, pour présenter leurs vulnérabilités et limitations potentielles. Cela afin de mieux comprendre les risques liés à la mobilité et de concevoir des contre-mesures adaptées au niveau de sécurité souhaité.

    Coverage link

  • Embedded web applications: horror stories

    by newsoft - Nicolas Ruff

    Sujet : Embedded web applications : horror stories
    Abstract : Un retour d’expérience sur les pires audits d’applications Web – et en général il s’agit souvent d’applications embarquées (ou alors de SAP).

    Coverage link

  • Intégrer un système d’authentification forte (One Time Password) dans vos applications

    Sujet:
    Intégrer un système d’authentification forte (One Time Password) dans vos applications

    Abstract :
    La nécessité d’abandonner les phases d’authentification simple vers de l’authentification forte n’est plus à démontrer, cependant ce système d’authentification n’est pas pour autant aussi répandu qu’il ne le devrait. Les préjugés de la difficulté de mise en place d’un tel système peuvent représenter un frein à son déploiement.

    L’objectif de ce workshop est de démontrer qu’il peut être simple de mettre en place un système d’authentification forte sans pour autant avoir de grosses connaissances techniques. Cette démonstration sera effectuée à travers la réalisation de plusieurs ateliers, de différents niveaux, d’intégration de système d’authentification forte sur divers applications.

    A titre d’exemple :
    - Mise en place d’authentification par OTP pour ssh (par radius et pam)
    - Mise en place d’authentification par OTP pour PhpMyAdmin (modification de code php encadrée)
    - Gestion des utilisateurs dans le cas pratique d’un mini-serveur d’authentification en php (deux sujets de difficulté variable)
    - Autres : webmin, wordpress, …

    Connaissances techniques :
    aucune, à l’exception d’une familiarisation avec les commandes de base linux

    Matériel participants :
    Votre Laptop avec vmware et le JRE, Client SSH, SmartPhone en option (IPhone, Tablette, Android, etc.) – 1 Token Hardware par participant de type OTP Time Based (OATH-TOTP — Style C200 ) inclus dans le prix du Workshop.

  • Les limites de l’eBanking face à la menace des malwares

    by Sébastien Bischof

    Sujet : Explication de la menace « man-in-the-PC », de ses conséquences et des limites des solutions d’authentification et de signature de transactions.
    Abstract : La télévision suisse allemande SF1 a diffusé fin mai un reportage sur la sécurité de l’eBanking en Suisse.
    L’émission suit une équipe de l’ETH qui a obtenu l’autorisation d’un certain nombre de banques pour mettre leur site à l’étude.
    Après avoir admis qu’un PC peut être infecté par différents moyens (en réalité, 5% des PC testés le sont d’après Microsoft), l’équipe de chercheurs zurichois démontre alors les limites des solutions actuelles.
    Seule la banque qui a recours à la signature de chaque transaction échappe au constat. Nous reviendrons lors de notre présentation sur la nature de la menace.
    Tout d’abord, nous expliquerons comment les plus célèbres malwares, Zeus et SpyEye, arrivent à dépouiller leurs victimes sans que celles-ci ne puissent rien soupçonner. En passant, nous verrons aussi que les eBankings ne sont pas leurs seules cibles, loin s’en faut.
    Ensuite, nous commenterons les techniques les plus récentes qui permettent aux malwares d’échapper aux antivirus et antimalwares, pourtant sans cesse mis à jour. Nous vulgariserons les concepts qui se cachent derrière DKOM et Bootkit pour que chacun soit à même d’apprécier le danger.
    Pour terminer, nous nous demanderons, preuve à l’appui, si la signature de transaction peut effectivement lutter efficacement contre cette menace. En fait, lorsque les attaques sont habilement couplées à du social engineering, elles n’ont potentiellement plus aucune limite. Zeus l’a récemment prouvé en attaquant la validation de transaction par SMS et nous verrons que les mécanismes qui ont résisté aux tests de l’ETH y sont également
    sensibles.

    Coverage link

  • Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous ?

    by joel winteregg

    Sujet : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous ?
    Abstract : Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui.

    Coverage link

  • Microsoft SDL dans un monde Java

    by Sebastien Gioria

    Sujet : Microsoft SDL dans un monde Java
    Abstract : Présentation de la méthode SDL de Microsoft,et d’une manière simple de pouvoir l’utiliser avec les outils qui vont bien
    dans une société développant en Java.
    Présentation de la SDL,de ses phases.
    Présentation des outils Java permettant de coller à la méthode Microsoft qui ne fournie, elle, que des outils autour du développement .NET/C#/C

    Coverage link

  • Microsoft SDL dans un monde Java

    by Sebastien Gioria

    Sujet : Microsoft SDL dans un monde Java
    Abstract : Présentation de la méthode SDL de Microsoft,et d’une manière simple de pouvoir l’utiliser avec les outils qui vont bien
    dans une société développant en Java.
    Présentation de la SDL,de ses phases.
    Présentation des outils Java permettant de coller à la méthode Microsoft qui ne fournie, elle, que des outils autour du développement .NET/C#/C

    Coverage link

  • OWASP Entreprise Security API

    by Philippe Gamache

    Sujet : OWASP Entreprise Security API
    Abstract : OWASP Enterprise Security API aide les développeurs de logiciels à protéger leurs applications contre les erreurs de conception et de mise en oeuvre. Comme l’ESAPI est un API, il peut facilement être ajouté à des applications et des services pour se protéger des assaillants. Dans cette présentation, je vais présenter le projet et ses implantations.

    Coverage link