[Owasp-morocco] Feed-back:Les 5 risques les plus critiques des application Web
Yasser ABOUKIR
yaboukir at gmail.com
Sat Oct 29 10:46:15 EDT 2011
J'avais une heure et quart. Avant mon intervention il y avait une
présentation sur les Défis de la sécurité de l'HTML5. L'après-midi il y
avait un workshop pratique sur les attaques réseaux. (j'ai pas assisté car
j'ai dû rentrer à Rabat).
Sinon, pour le workshop à l'ENSIAS, il a pris à peu près 40mins.
Le 29 octobre 2011 07:33, Nabil OUCHN <ouchn at netpeas.com> a écrit :
> Excellent Travail Yasser !!!
>
> Mais ce n'était pas un peu long ;) 73 Slides !!! Tu avais combien de
> temps pour la faire ??
>
> +++
>
> N.
>
>
> Le 29 oct. 2011 à 08:18, Yasser ABOUKIR a écrit :
>
> Bonjour,
>
> J'aimerais bien partager avec vous les slides que j'ai présenté lors de la
> Journée de Sécurité Informatique à la FST - Tanger.
> La thématique était à propos des 5 risques majeurs des applications Web,
> mais elle était précédé par une brève présentation sur l'OWASP ainsi que ses
> fameux projets. J'ai met l'accent sur le projet WebGoat sur lequel j'ai
> travaillé et il était l'occasion même d’entamer quelques preuves de concept
> de vulnérabilités. J'ai donné également des explications sur une méthode
> récente de contournement de la sécurité par token contre les attaques de
> type CRSF. Cette méthode est basé sur la combinaison d'une HTTP Parameter
> Pollution et une attack via Clickjacking. L'expérience à Tanger était bien
> réussie et appréciée et par les professionnels et par les élèves ingénieurs
> présents.
> Mon article sur ce sujet là:
> http://www.yaboukir.com/journee-securite-informatique-fst-tanger/
>
> Ce jeudi passé j'ai animé un Workshop, dans le cadre des activité du club
> INSEC à l’École Nationale Supérieure d'Informatique et d'Analyse des
> Systèmes à Rabat. Le Workshop a met en évidence des notions de l'audit des
> applications Web. Partant de la simple altération des données ( qui
> actuellement ouvre la porte à une faille respectable sur Facebook
> http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html)
> arrivant aux SQLi et les XSS. WebGoat reste là encore un outil pédagogique
> auquel j'ai remédié. J'ai également profité de l'occasion pour expliquer
> étape par étape la vulnérabilité que j'ai découvert sur le produit d'Oracle
> (Oracle HTTP Server) (voir détails sur:
> http://www.exploit-db.com/exploits/17393/ ou la vidéo démo sur
> http://www.yaboukir.com/xss-header-injection-in-oracle-http-server/),
> surtout que cette dernière regroupe les trois concepts déjà traités. Vers la
> fin nous avons eu des discussion sur le processus du "Responsable
> Disclosure".
>
> Je vous remercie pour le temps que vous avez pris pour lire ce feed-back.
> Je serais ravi de partager les slides avec vous, just feel free to contact
> me.
>
> --
> Best regards,
> Bien cordialement,
> *--------------------------------------------------------------------*
> *Yasser ABOUKIR**
> *Computer Science Engineering Student at *ENSIAS* <http://www.ensias.ma/>- Rabat, Morocco<http://ma.linkedin.com/in/yasseraboukir>
> Information Security Major
> Phone: +212 6 69 60 64 82
> Visit us: *www.yaboukir.com*
>
> _______________________________________________
> Owasp-morocco mailing list
> Owasp-morocco at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-morocco
>
>
> --
> Nabil OUCHN
> CTO, Co-Founder & COREvidence Evangelist
> http://www.netpeas.com
> https://corevidence.com
>
>
>
>
>
--
Best regards,
Bien cordialement,
*--------------------------------------------------------------------*
*Yasser ABOUKIR**
*Computer Science Engineering Student at *ENSIAS* <http://www.ensias.ma> -
Rabat, Morocco <http://ma.linkedin.com/in/yasseraboukir>
Information Security Major
Phone: +212 6 69 60 64 82
Visit us: *www.yaboukir.com*
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-morocco/attachments/20111029/668cf783/attachment-0001.html
More information about the Owasp-morocco
mailing list