[Owasp-france] CR OWASP Training Paris - 26th April

Ludovic Petit ludovic.petit at owasp.org
Thu Apr 28 11:41:20 EDT 2011


Hi Folks


Ci-joint un succint CR de la conférence OWASP Training Paris du 26 avril
dernier, pour ceux qui n'ont pas eu la chance d'y participer.

Les supports de présentations seront mis en ligne dans les prochains jours
sur la page du Chapter France.



A noter dans vos agendas que nous attendons confirmation de Jim Manico,
Chair Global Connections Committee, pour un talk en Semaine 20 ou 21 à
Paris:

**

*Abstract Title*: "*The Ghost of XSS Past, Present and Future. A Defensive
Tale."
Description:* This talk will discuss the past methods used for XSS defense
that were only partially effective. Learning from these lessons, will will
also discuss present day defensive methodologies that are effective, but
place an undue burden on the developer. We will then finish with a
discussion of future XSS defense mythologies that shift the burden of XSS
defense from the developer to various frameworks.
These include auto-escaping template technologies, browser-based defenses
such as Content Security Policy, and Javascript sandboxes such as the Google
CAJA project and JSReg.



*BIO:*
*Jim Manico* is a managing partner of Infrared Security with over 15 years
of professional web development experience. Jim is also the chair of the
OWASP connections committee, one of the project managers of the OWASP ESAPI
project, a participant and manager of the OWASP Cheatsheet series, the
producer and host of the OWASP Podcast Series,
the manager of the OWASP Java HTML Sanitizer project and the manager of the
OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of
Kauai with his lovely wife Tracey.


*Introduction *- Ludovic Petit & Sébastien Gioria**

-        Présentation de l’agenda de la journée

-        Update sur les Projets OWASP



*OpenSAMM *- Antonio Fontes (Chapter Leader OWASP Geneva) Présentation en
Français

http://www.opensamm.org/

https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model



-        Open Software Assurance Maturity Model (SAMM)

-        Modèle de maturité « clés en mains » à la libre disposition des
organisations

-        Identifier et réduire le risque durant le cycle de développement
logiciel

-        Méthodologie permettant d’aider à  formuler et mettre en œuvre une
stratégie de sécurité logicielle adaptée aux risques spécifiques auxquels
fait face l’organisation

-        Synthèse Slides 21 à 26, 44 & 45



*OWASP Cloud Project* - Ludovic Petit (Chapter Leader OWASP France, OWASP
Global Education Committee Member) - Présentation en Anglais & Français

https://www.owasp.org/index.php/Projects/OWASP_Cloud_%E2%80%90_10_Project



-        Présentation de l’OWASP Cloud Security Project (Draft)

-        Top Ten des Risques associées au modèle Cloud. Draft v1 en cours de
discussion pour uns structure s'inspirant de l’OWASP Top Ten



*OWASP ESAPI* - Fabio Cerullo (Chapter Leader OWASP Ireland, Global
Education Committee) - Présentation en Anglais

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

https://www.owasp.org/index.php/ESAPI_Swingset

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project



-        *ESAPI (The OWASP Enterprise Security API)* is a free, open source,
web application security control library that makes it easier for
programmers to write lower-risk applications. The ESAPI libraries are
designed to make it easier for programmers to retrofit security into
existing applications. The ESAPI libraries also serve as a solid foundation
for new development.

-        OWASP Enterprise Security API Toolkits helps software developers
guard against security-related design and implementation flaws

-        *Swingset* : Originally designed as a Web Application which
demonstrates the many uses of ESAPI



*OWASP Testing Guide*  - Sébastien Gioria (French Chapter Leader, OWASP
Global Education Committee Member) - Présentation en Français

https://www.owasp.org/index.php/Category:OWASP_Testing_Project



-        Pour les Développeurs :

o   Eviter les failles Applicatives Web

-        Pour les Equipes de Tests :

o   Améliorer les produits en ajoutant des tests sécurité

-        Pour les Spécialistes de la sécurité / Auditeurs Sécurité :

o   Vérifier que les produits/logiciels sont exempts de failles

o   Disposer d’un référentiel commun et exhaustif

-        Un set de 66 tests répartis en 10 catégories :

o   Découverte d’informations

o   Gestion de la configuration

o   Logique Métier

o   Authentification

o   Habilitations

o   Gestion des sessions

o   Validations des données

o   Déni de service

o   Web Services

o   Ajax



*OWASP 02 Platform* - Dinis Cruz (OWASP O2 Project Leader, Board OWASP) -
Présentation en Anglais



D’un point de vue Sécurité, cette session a fait l’unanimité et a été
plébiscitée par l’assistance. Really impressive !

(Je prévois de faire intervenir Dinis dans les prochains mois lors d’un
OWASP France Meeting pour une autre présentation d’O2)

Pas de slide deck disponible, Dinis ayant créé O2 afin d’y intégrer sa
connaissance dans un but de transfert de compétences/connaissance vers les
développeurs souhaitant s’inspirer de la démarche.



http://o2platform.com/wiki/Main_Page

https://www.owasp.org/index.php/OWASP_O2_Platform

http://o2platform.com/wiki/Documentation

http://o2platform.com/wiki/O2_Videos_on_YouTube

http://www.youtube.com/watch?v=6S93YMjcTxk



-        Démo Live effectuée par Dinis Cruz

-        En fait, O2 a été conçu par un développeur de renommée mondiale
afin de pouvoir être utilisée pour comprendre comment fonctionne un site web
dans l’ensemble de sa structure fonctionnelle

o   Code

o   Programmation

o   Requêtes fonctionnelles

o   Imbrications logicielles

o   etc.

-        Interactions de requêtes statiques et dynamiques

-        The O2 platform represents a new paradigm for how to perform,
document and distribute Web Application security reviews

-        O2 is designed to Automate Security Consultants Knowledge and
Workflows and to Allow non-security experts to access and consume Security
Knowledge



*OWASP Code Review* - Victor Vuillard - Présentation en Français

https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project



-        Démarche Qualité basée sur l’importance d’intégrer la Sécurité en
phase amont des Projets

-        Revue de Code Manuelle & Automatisée

-        OWASP Code Review Guide

o   Méthodologie

§  Préparation, modélisation de l'application, analyse de risques

o   Parcours du code

§  Fonctions Java, ASP, AJAX

o   Compliance

§  PCI-DSS

o   Revue par type de contrôle technique

§  Auth, droits, session, gestion des entrées et des erreurs, crypto

o   Exemples par type de vulnérabilités

§  Overflows, injections de commande et SQL, XSS, CSRF, race condition...

o   Langages

§  Java, ASP, PHP, C/C++, MySQL, RIA (Flash, Ajax, WebServices)

o   Automatisation



*OWASP Secure Coding Practices - Quick Reference Guide : *
https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide

Bon vent à tous!
-- 
Ludovic
Chapter Leader, OWASP France
Member, OWASP Connections Committee

Mobile: +33 (0) 611 726 164
E-mail: ludovic.petit at owasp.org
LinkedIn: http://www.linkedin.com/in/lpetit
http://www.owasp.org/index.php/User:Ludovic_Petit
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-france/attachments/20110428/4b6da073/attachment-0001.html 


More information about the Owasp-france mailing list