[Owasp-morocco] Feed-back:Les 5 risques les plus critiques des application Web

Yasser ABOUKIR yaboukir at gmail.com
Sat Oct 29 02:18:01 EDT 2011


Bonjour,

J'aimerais bien partager avec vous les slides que j'ai présenté lors de la
Journée de Sécurité Informatique à la FST - Tanger.
La thématique était à propos des 5 risques majeurs des applications Web,
mais elle était précédé par une brève présentation sur l'OWASP ainsi que ses
fameux projets. J'ai met l'accent sur le projet WebGoat sur lequel j'ai
travaillé et il était l'occasion même d’entamer quelques preuves de concept
de vulnérabilités. J'ai donné également des explications sur une méthode
récente de contournement de la sécurité par token contre les attaques de
type CRSF. Cette méthode est basé sur la combinaison d'une HTTP Parameter
Pollution et une attack via Clickjacking. L'expérience à Tanger était bien
réussie et appréciée et par les professionnels et par les élèves ingénieurs
présents.
Mon article sur ce sujet là:
http://www.yaboukir.com/journee-securite-informatique-fst-tanger/

Ce jeudi passé j'ai animé un Workshop, dans le cadre des activité du club
INSEC à l’École Nationale Supérieure d'Informatique et d'Analyse des
Systèmes à Rabat. Le Workshop a met en évidence des notions de l'audit des
applications Web. Partant de la simple altération des données ( qui
actuellement ouvre la porte à une faille respectable sur Facebook
http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html)
arrivant aux SQLi et les XSS.  WebGoat reste là encore un outil pédagogique
auquel j'ai remédié. J'ai également profité de l'occasion pour expliquer
étape par étape  la vulnérabilité que j'ai découvert sur le produit d'Oracle
(Oracle HTTP Server) (voir détails sur:
http://www.exploit-db.com/exploits/17393/  ou la vidéo démo sur
http://www.yaboukir.com/xss-header-injection-in-oracle-http-server/),
surtout que cette dernière regroupe les trois concepts déjà traités. Vers la
fin nous avons eu des discussion sur le  processus du "Responsable
Disclosure".

Je vous remercie pour le temps que vous avez pris pour lire ce feed-back. Je
serais ravi de partager les slides avec vous, just feel free to contact me.

-- 
Best regards,
Bien cordialement,
*--------------------------------------------------------------------*
*Yasser  ABOUKIR**
*Computer Science Engineering Student at *ENSIAS* <http://www.ensias.ma> -
Rabat,  Morocco <http://ma.linkedin.com/in/yasseraboukir>
Information Security Major
Phone:   +212 6 69 60 64 82
Visit us:  *www.yaboukir.com*
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-morocco/attachments/20111029/f2c0bffe/attachment.html 


More information about the Owasp-morocco mailing list