[Owasp-morocco] Feed-back:Les 5 risques les plus critiques des application Web

[Nabil OUCHN]

Excellent Travail Yasser !!!

Mais ce n'était pas un peu long ;) 73 Slides !!!   Tu avais combien de temps pour la faire ??

+++

N.


Le 29 oct. 2011 à 08:18, Yasser ABOUKIR a écrit :

> Bonjour,
> 
> J'aimerais bien partager avec vous les slides que j'ai présenté lors de la Journée de Sécurité Informatique à la FST - Tanger.
> La thématique était à propos des 5 risques majeurs des applications Web, mais elle était précédé par une brève présentation sur l'OWASP ainsi que ses fameux projets. J'ai met l'accent sur le projet WebGoat sur lequel j'ai travaillé et il était l'occasion même d’entamer quelques preuves de concept de vulnérabilités. J'ai donné également des explications sur une méthode récente de contournement de la sécurité par token contre les attaques de type CRSF. Cette méthode est basé sur la combinaison d'une HTTP Parameter Pollution et une attack via Clickjacking. L'expérience à Tanger était bien réussie et appréciée et par les professionnels et par les élèves ingénieurs présents.
> Mon article sur ce sujet là: http://www.yaboukir.com/journee-securite-informatique-fst-tanger/ 
> 
> Ce jeudi passé j'ai animé un Workshop, dans le cadre des activité du club INSEC à l’École Nationale Supérieure d'Informatique et d'Analyse des Systèmes à Rabat. Le Workshop a met en évidence des notions de l'audit des applications Web. Partant de la simple altération des données ( qui actuellement ouvre la porte à une faille respectable sur Facebook http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html) arrivant aux SQLi et les XSS.  WebGoat reste là encore un outil pédagogique auquel j'ai remédié. J'ai également profité de l'occasion pour expliquer étape par étape  la vulnérabilité que j'ai découvert sur le produit d'Oracle (Oracle HTTP Server) (voir détails sur: http://www.exploit-db.com/exploits/17393/  ou la vidéo démo sur http://www.yaboukir.com/xss-header-injection-in-oracle-http-server/), surtout que cette dernière regroupe les trois concepts déjà traités. Vers la fin nous avons eu des discussion sur le  processus du "Responsable Disclosure".
> 
> Je vous remercie pour le temps que vous avez pris pour lire ce feed-back. Je serais ravi de partager les slides avec vous, just feel free to contact me.
> 
> -- 
> Best regards,
> Bien cordialement,
> --------------------------------------------------------------------
> Yasser  ABOUKIR
> Computer Science Engineering Student at ENSIAS - Rabat,  Morocco
> Information Security Major
> Phone:   +212 6 69 60 64 82
> Visit us:  www.yaboukir.com
> 
> _______________________________________________
> Owasp-morocco mailing list
> Owasp-morocco at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-morocco

-- 
Nabil OUCHN
CTO, Co-Founder & COREvidence Evangelist
http://www.netpeas.com
https://corevidence.com




-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-morocco/attachments/20111029/17bba953/attachment.html