Formation Sécurité du Développement web en Java sur Niort

AppSecFR vous propose une formation de 2J sur le sujet de la Sécurité du Développement Web en Java

Cette formation aura lieu sur NIORT (79) sur 2 dates :

  • 1 et 2 Octobre 2018
  • 19 et 20 Novembre 2018

Le contenu de la formation vous permettra de prendre en compte les problématiques de sécurité de Java et d’appliquer les bonnes pratiques dans le cadre d’exercices proche des technologies que vous pouvez utiliser.

Cette formation entre dans le cadre de l’obligation PCI-DSS 6.5 

A l’issu de la formation, le stagiaire recevra

  • Le certificat de formation AppSecFR(r) Secure DevWeb Java niveau 1
  • Une feuille des contrôles de sécurité à effectuer sur son application Web.
  • Goodies 🙂

Le nombre de place est limité à 12 personnes par session.

 

Pour s’inscrire deux solutions :

 

Nous pouvons aussi réaliser la formation sur 3J en intra-entreprise au besoin sur d’autres dates. Nous contacter pour plus d’informations

 

 

OWASP Top10 2017 -RC1

Bonjour,

comme certains ont déja pu le voir, l’OWASP Top10 2017 est en release Candidate 1 .  Comme son nom l’indique, c’est une version préliminaire (enfin très proche de la version finale), a des fins de commentaires.  Pour cela, il ne faut pas hésiter à remonter (en anglais ou via un de vos leaders OWASP) ce qui vous interloque sur cette nouvelle version.

Alors que dire sur cette nouvelle version :

  1. Oui il y aura une traduction francaise. C’est une obligation vu la diffusion auprès des développeurs de ce document important
  2. Il n’y a pas de « gros changements »
  3. Mais il va falloir quand meme mettre a jour les reporting et autres outils de vos chaines 😉
  4. Que  comme indiqué a la page 22, il n’y a pas que ces éléments a prendre en compte mais aussi les éléments suivants  :

 

Si on le regarde un peu dans le détail ;

  1. on voit bien que les plaies sont toujours présentes :
    • Injections ; de tout type et pas juste le SQL….
    • XSS ; toujours en bonne position, même si personnellement je le remonterai bien en A2 voir en A1.
  2. Par contre certains points ne me paraissent pas justifiés encore une fois,;  A8 vu le nombre de serveurs actuellement incluant le mécanisme de protection, je trouve cela un peu bizarre (mais je n’ai pas regarder les statistiques qui concourent à la création de ce Top10)
  3. le A10 de 2010 (redirect et forwards) est ENFIN supprimé….il était temps vu la polémique qu’il avait entrainé…. Son remplaçant me parait quand meme sous évalué, vu le nombre d’API que nous rencontrons dorénavant.
  4. le A4 2017 me parait quant a lui justifié.

 

Je vous souhaite une bonne lecture, et n’hésitez pas à commenter (cela sera modérer bien sur :)) et a bientot pour de nouvelles explications (en particulier sur les différents éléments et vulnérabilités associées.

 

 

 

 

La trouvaille du jour

Un petit code tout simple trouvé dans une application dont je revoyais le code….

<%

// Should we display the stacktrace directly ?

Cookie[] cookies = request.getCookies();

boolean showStackTrace = false;

for(int i = 0; i < cookies.length; i++) {

Cookie c = cookies[i];

if( "showStackTrace".equals( c.getName() ) ) pageContext.setAttribute("showStackTrace", Boolean.TRUE);

}

 

J’ai conclu en mettant les éléments suivants  :

  1. Joli code qui respecte les standards de développements internes et les bonnes pratiques de code sécurisé
  2. Portion de code ne comportant aucune vulnérabilité technique connue a la date de la revue
  3. Code correctement commenté
  4. Remarque : Est-ce bien nécessaire d’avoir une vulnérabilité logique aussi importante dans le code de l’application XXXX ?
  5. Peut-on en parler a Maitre Yoda  ?

Liens collectés 02/24/2018