Valider et non pas juste parser !

La plus importante manière d’eviter une injection est de valider une donnée ! et non pas juste la parser! 

 

Meme si vous pensez que le parser doit générer une Exception.

Exemple sur une question venue ce matin et utilisant la classe suivante : 

https://docs.oracle.com/javase/7/docs/api/java/text/DateFormat.html#parse(java.lang.String)

Et oui, le code suivant ne génère pas d’exception : 

 

import java.lang.String;
import java.text.*;
import java.util.Calendar;
import java.util.Date;

public class Main {

publicstaticvoid main(String[] args) {
DateFormat DFormat
= new SimpleDateFormat("dd/ mm/ yy");
try {
Calendar cal = Calendar.getInstance();

// Use of parse() method to parse
// Date From String
String dt = "10/ 27/ 16 <script>alert(1);</script>";
System.out.println("The unparsed"
+ " string is: " + dt);
// Parse string. if exception this is not a date
DFormat.parse(dt);

System.out.println ("Date parse and no exception, so use the string: " + dt);

} catch (ParseException excpt) {
excpt.printStackTrace();
}
}
}

Ce code produit : 

The unparsed string is: 10/ 27/ 16 <script>alert(1);</script>
Date parse and no exception, so use the string: 10/ 27/ 16 <script>alert(1);</script>

 

Toujours vérifier et/ou utiliser la valeur de retour d’une méthode si il y en a une ! 

#appsec #appsecfr #securecoding #java 

Formation Sécurité du Développement web en Java sur Niort

AppSecFR vous propose une formation de 3J sur le sujet de la Sécurité du Développement Web en Java

Cette formation aura lieu sur NIORT (79)  :

  • 26-27-28 Aout 2019 (pour bien recommencer a la rentrée 2019 !)
  • 7-8-9 Octobre 2019

Le contenu de la formation vous permettra de prendre en compte les problématiques de sécurité de Java et d’appliquer les bonnes pratiques dans le cadre d’exercices proche des technologies que vous pouvez utiliser.

Cette formation entre dans le cadre de l’obligation PCI-DSS 6.5 

A l’issu de la formation, le stagiaire recevra

  • Le certificat de formation AppSecFR(r) Secure DevWeb Java basic
  • Une feuille des contrôles de sécurité à effectuer sur son application Web.
  • Goodies 🙂

Le nombre de place est limité à 10 personnes par session.

Le prix : 1542 €HT pour 3j par stagiaire

Pour s’inscrire contactez AppSecFR en précisant la date, nous vous recontactons rapidement

Nous pouvons aussi réaliser la formation en intra-entreprise au besoin sur d’autres dates. Nous contacter pour plus d’informations

Certifications AppSecFR

AppSecfr(r) lance ses certifications a destination des développeurs. Fort de 10 annees de formation et de plusieurs milliers de personnes formées , AppSecFR lance les formations certifiantes en sécurité Web.

3 niveaux sont disponibles :

  • AppSec basic ; témoigne d’une capacité à détecter les failles du Top10 Owasp  et de proposer des remediations associees
  • AppSec spécialiste ; témoigne d’une capacité AppSec basic + de la capacité à maîtriser les concepts de l’ASVS et d’en decliner des exigences et remediations eventuelles
  • AppSec expert ; témoigne de la capacité d’un AppSec spécialiste plus de la capacité a mener un Threat Modeling sur une application Web.

AppSecFR(r) est prestataire de formation reference auprès de la DIRECTTE, prestataire reference auprès de Cybermalveillance.gouv.fr .

Contactez nous pour plus d’informations

Mon Talk pour DevoXXFR 2018

UPDATE : Talk accepté !!!! OWASP Top10 2017 – Nouveauté ou continuité

J’ai soumis l’élément suivant pour DevoxxFR2018. Si certains JUG/Groupe User de développeurs  sont intéressés, merci de me faire signe. On pourra l’adapter a votre langage.

PS: de plus si vous souhaitez que je donne une session de formation sur ce sujet a vos développeurs, n’oubliez pas le formulaire de contact, je vous recontacte ASAP 

 

Titre:  OWASP Top10 2017 – Nouveautés ou continuité ?

Résumé : 

Qui ne connait pas l’OWASP Top10 ? (a priori lors de la dernière session DevoxxFR2017 beaucoup ne le connaissait pas vraiment, et cela se vérifie a chaque fois).
Le 20/11/2017, une nouvelle version majeure du Top10 OWASP est sortie, avec l’introduction de différents points importants :

  • A4:2017-XML External Entities (XXE)
  • A7:2017-Insecure Deserialization
  • A10:2017-Insufficent monitoring

Avec l’avènement de plus en plus important des réglementations orienté Secure Coding (Qui a parlé du GDPR, du PCI-DSS, du RGS, …. ? ) nous devons en tant que développeur comprendre notre implication et la bonne manière de pouvoir correctement éviter qu’après un audit on vienne nous redemander des comptes.

Lors de cette session, nous insisterons donc sur ces 3 nouveautés importantes qui nous permettrons de bien comprendre d’ou vient le problème et comment le régler.

Victime d’une cyber-Malveillance ?

Hier, le GIP ACYMA a ouvert sur l’ensemble de la France l’accès au portail https://www.cybermalveillance.gouv.fr/.

Ce portail se veut un point de contact unique entre les victimes et les entreprises pouvant les aider. Différentes catégories de prestataires existent :

– Prestataire a destination des entreprises
– Prestataire a destination des administrations
– Prestataire à destination des particuliers

Aujourd’hui lorsque vous êtes une cybervictime, la procédure n’est pas claire, vous ne savez pas si vous devez aller à la gendarmerie, la police, voir un avocat, …. ACYMA se veut simplifier tout cela

Les buts sont :
– pouvoir donner des points de contacts validés par les autorités aux victimes
– simplifier éventuellement la démarche
– décharger les autorités de police et de gendarmerie qui ont d’autres taches plus prioritaires
– permettre la remontée des informations à destination des autorités (ANSSI, ….).

Le processus ne se veut pas un remplacement de la procédure judiciaire, mais les contacts avec les prestataires référencés permet de mieux s’y retrouver, voir de pouvoir résoudre votre probleme (dans le cadre d’une prestation de service du prestataire)

AppSecFR(r) est membre  dans la liste des partenaires à destination des entreprises et administrations.

Notre périmètre d’intervention est :
– Investigation judiciaire ou et privée
– Analyse des défaillances et plans de remédiation
– Assistance à la constitution des preuves légales
– Audit de sécurité organisationnel et technique
– Sécurisation des sites Web.

 

N’hésitez pas à nous contacter