2010 02 09 Ms Tech Days Owasp Asvs Sgi V01

OWASP Application Security Verification Standard 2009 Microsoft TechDays 8 Février 2010 Paris Palais des congrès Sébastien Gioria (French Chapter Leader & OWASP Global Education Comittee Member) [email_address]

Sébastien Gioria Plus de 12ans en Sécurité des Systèmes d’Informations. Leader du chapitre Français de l’OWASP && Membre du comité d’éducation mondial. Consultant sénior en sécurité des systèmes d’informations. Président du club Régional de la SSI de Poitou-Charentes (affilié au CLUSIF). Expériences professionnelles : Directeur Technique Hébergement et RSSI d’un opérateur télécoms mondial. RSSI Adjoint d’une Banque Nationale Française. RSSI Adjoint au sein d’une Assurance Française. Domaines de prédilection : Web 0.9 à Web 4.2, WebServices

L’OWASP (Open Web Application Security Project) Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité applicative. Tous les documents, standards, outils sont fournis sur la base du modèle open-source. Organisation : Réunion d’experts indépendants en sécurité informatique Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte à tous En France : une Association. Le point d’entrée est le wiki http://www.owasp.org

Les ressources de l’OWASP Un Wiki, des Ouvrages, un Podcast, des Vidéos, des conférences, une Communauté active .

Les publications Toutes les publications sont disponibles sur le site de l’OWASP: http://www.owasp.org L’ensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les publications majeures : Le TOP 10 des vulnérabilités applicatives Le Guide de l’auditeur/du testeur Le Code Review Guide Le guide de conception d’applications Web sécurisées L’Application Security Verification Standard (ASVS) La FAQ de l’insécurité des Applications Web Building Guide Code Review Guide Testing Guide Application Security Desk Reference (ASDR) Le Top 10 fait référence à tous ces guides

Type d’attaques applicatives Source : Rapport Cenzic – 1 er semestre 2009

Faiblesse des Applications Web Etude du GARTNER 2003 75% des attaques ciblent le niveau Applicatif 66% des applications web sont vulnérables Application Web Eléments Réseaux 75 % 90 % 25 % 10 % % Attaques % Dépenses Etude du SANS (septembre 2009) http://www.sans.org/top-cyber-security-risks/

L'ASVS Détails Techniques Comment s'y prendre Les différentes exigences Questions Agenda The OWASP Foundation http://www.owasp.org

Philosophie de l'ASVS Il se veut un standard pour vérifier la sécurité des applications Web. Il se veut indépendant des applications/framework Il se veut indépendant des cycles de développement Il définit les éléments nécessaires à appliquer à une application sans avoir à interpréter celui ci. Points importants : Il définit plusieurs niveaux de vérification de la sécurité Les différences entre les niveaux et l’étendue de la couverture doit être linéaire Les éléments fonctionnels à vérifier doivent utiliser une approche de type liste blanche Il doit être indépendant des outils et des techniques de vérification !!!!

Quelles réponses apporte l'ASVS Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application Web. Comment comparer les différentes vérifications de sécurité effectuées Quel niveau de confiance puis-je avoir dans une application Web

Que sont les niveaux de vérification de l'ASVS

Techniques de vérification de la sécurité applicative Découverte des vulnérabilités dans l’application en ligne Découverte des vulnérabilités dans le code source Approche Globale Utilisation d’outils automatisés Revue de code statique automatisée Pentest Manuel Revue de code Manuel

Définition des niveaux Level 1 – Vérification automatisée (vérification partielle de l'application) Level 1A –Scan dynamique Level 1B – Scan du code source Level 2 – Vérification manuelle (vérification partielle de l'application) Level 2A – Test d'intrusion Level 2B – Revue de code Level 3 – Vérification de la conception Level 4 – Vérification des fonctions internes

Level 1 en détail Vérification automatisée d'une application vue comme un groupe de composants et une seule application monolithique

Level 1 Options Level 1A Scan partiel de manière dynamique (aka ClikaWarrior) Level 1B Scan partiel du code source (aka GrepWarrior) Les 2 sont nécessaires pour obtenir un niveau 1 complet

Au mieux un outil voit 45 % des failles Une étude de MITRE a démontré que les outils de tests applicatifs des éditeurs ont découverts 45% des vunérabilités Ils ont découvert peut d'overlap entre les outils, il est donc nécessaire de les avoir tous pour avoir 45% de couverture.

Niveau 2 en détail Vérification manuelle d'une application organisée en niveaux d'architecture

Level 2 Options Level 2A Pentests manuels (aka BurpSuiteWarrior) Level 2B Revue de code manuelle (aka EoinWarrior) Il n’est pas nécessaire d’effectuer des scans automatisés pour atteindre ces niveaux !! Les 2 sont nécessaires pour obtenir un niveau 2 complet.

Level 3 en détail Level 2 + Modèlisation des menaces pour vérifier la conception

Level 4 en détail Revue interne de l'application à la recherche de code malveillants (pas de virus/malware uniquement) et examination des fonctionnements des contrôles de sécurité

Que sont les exigences de vérification de l'ASVS Exigences d'architecture Exigences de vérification de la sécurité Liste d'éléments détaillée par niveau

Une approche positive ! Negative Rechercher les failles XSS…. Positive Vérifier que toutes les données disposent d'un échappement propre des entrées fournies. See: http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

Quels sont les exigences de rapport de l'ASVS R1 –Introduction R2 – Description de l'application R3 – Approche architecture R4 – Résultats de la vérification

Par ou commencer L'acheteur et le vendeur se mettent d'accord sur les exigences de sécurité qui seront vérifiées en spécifiant le niveau ASVS Vérification initiale de l"application

Et ensuite…. Développe et executer une stratégie de correction… Re-vérifier que les différents fixes sont la Mettre en place une stratégie permettant d'ajouter les vérfications dans le cycle de développement.

Integrating ASVS into your SDLC (Outsourcing not required)

Les 14 familles d’exigences V1. Architecture de sécurité V2. Authentification V3. Gestion de Sessions V4. Contrôle d'accès V5. Validations d'entrées V6. Encodage et échappement de sorties V7. Cryptographie V8. Gestion des erreurs et de la journalisation V9. Protection des données V10. Sécurité des communications V11. HTTP Sécurisé V12. Configuration de la sécurité V13. Recherche de codes malicieux V14. Sécurité interne

Plus d'infos La page du projet http://www.owasp.org/index.php/ASVS

Plus d'infos Le PDF du document est disponible sur la page du projet http://www.owasp.org/index.php/ASVS La liste de diffusion est disponible pour toutes questions : Voir le lien “ Mailing List/Subscribe" Tip: Subscribe a la liste en 1 clic : [email_address]

Architecture de sécurité Il s’agit principalement d’exigences de documentation de l’architecture : Exemples : Exigence L1 L2 L3 L4 Vérifier que tous les composants de l'application sont identifiés (aussi bien les composants individuels que les groupes de fichiers sources, bibliothèques de fonctions, et/ou fichiers exécutables. ✔ ✔ ✔ ✔ Vérifier que tous les composants qui ne font pas partie de l'application, mais dont l'application dépend pour fonctionner, soient correctement identifiés. ✔ ✔ ✔ Vérifier qu'une architecture de haut niveau a bien été définie pour l'application ✔ ✔ ✔

Authentification Il s’agit de vérifier l’ensemble des mécanismes permettant de s’assurer que l’utilisateur est le bon. Exigence L1 L2 L3 L4 Vérifier que toutes les pages et ressources exigent bien une authentification excepté celles qui sont spécialement prévues pour être public. ✔ ✔ ✔ ✔ Vérifier que tous les contrôles d'authentification ont une implémentation centralisée (les contrôles incluent les bibliothèques qui font appel des services d'authentification externes). ✔ ✔ ✔ Vérifier que tous les certificats d'authentification servant à accéder des services externes à l'application soient cryptés et stockés dans un endroit protégé (pas dans le code source). ✔ ✔ ✔

Gestion des sessions Vérification que le mécanisme des sessions est suffisamment surs L’authentification doit être simple, centralisée et standardisée Utiliser le mécanisme standard de gestion des cookies du framework (ils sont globalement fiables) Utiliser constamment SSL pour protéger les identifiants de connexion et de sessions Exigence L1 L2 L3 L4 Vérifier que l'implémentation du contrôle de gestion des sessions par défaut du framework est utilisé par l'application. ✔ ✔ ✔ ✔ Vérifier que les jetons de session d'authentification soient suffisamment long et aléatoires pour résister aux menaces typiques de l'environnement déployée. ✔ ✔ Vérifier que les cookies qui contiennent les jetons/ids de session d'authentification ont leurs domaine et chemin définit sur une valeur suffisamment restrictive pour ce site. ✔ ✔

Contrôle d’accès S’assurer que les accès aux fonctions et données sont limitées aux seuls utilisateurs autorisés. Exigence L1 L2 L3 L4 Vérifier que les utilisateurs ne puissent accéder qu'aux URLs pour lesquelles ils possèdent des autorisations spécifiques. ✔ ✔ ✔ ✔ Vérifier que les contrôles d'accès échouent de manière sécurisée. ✔ ✔ Vérifier que toutes les décisions de contrôles d'accès ainsi que toutesgestion d'erreur soient journalisées. ✔ ✔

Validation des entrées S’assurer que les données entrantes dans l’application sont « propres » Utiliser les filtres de type Anti-XSS Initialiser les chaînes pour éviter les débordements de tampon. Exigence L1 L2 L3 L4 Vérifier que l'environnement d'exécution n'est pas sujet aux débordements de tampon, ou que les contrôles de sécurité préviennent les débordements de tampons. ✔ ✔ ✔ ✔ Vérifier que tous les échecs de validation des entrées soient journalisés. ✔ ✔ ✔ Vérifier que chaque entrée de données soient conforme en aval pour tous les décodeurs ou interpréteurs préalablement à la validation. ✔ ✔

Encodage et échappement de sortie S’assurer que les données sortantes ne renvoie pas de données « sales » : Utilisation de l’OWASP ESAPI Exigence L1 L2 L3 L4 Vérifier que toutes les données non fiables qui doivent sortir sous forme de HTML (incluant HTML éléments, HTML attributs, données Javascript, blocks CSS, et attributs d'URLs) soient correctement échappés en fonction du contexte. ✔ ✔ ✔ ✔ Vérifier que toutes les données non sûres qui sont inclut dans descommandes de système d'exploitation soient correctement échappées. ✔ ✔ ✔ Vérifier que pour chaque type de sortie encodée/échappée exécutée par l'application, il n'y ait qu'un seul contrôle de sécurité pour ce type de sortie pour la destination prévue. ✔ ✔

Vérification cryptographique S’assurer que chiffrements sont surs : Pas d’utilisation de DES, Rot13…. Exigence L1 L2 L3 L4 Vérifier que toutes les fonctions cryptographiques utilisées dans l'application soient implémentées coté serveur. ✔ ✔ ✔ Vérifier que tous les nombres aléatoires, noms de fichiers aléatoires, GUIDs aléatoires, et chaines de caractères aléatoires soient générés par un module cryptographique, dont le générateur de nombres aléatoire soit approuvé, et dont les valeurs aléatoires ne puissent être prévues par un attaquant. ✔ ✔ ✔ Vérifier que les modules cryptographiques utilisés par l'application soient validées par le standard FIPS 140-2 ou un standard équivalent. (voir http://csrc.nist.gov/groups/STM/cmvp/validation.html). ✔ ✔

Gestion des erreurs et de journalisation S’assurer qu’il n’y a pas d’envoi de données sensibles à l’utilisateur. Exigence L1 L2 L3 L4 Vérifier que l'application n'envoie pas sur la sortie des messages d'erreurs ou des traces de pile contenant des informations sensibles qui pourraient aider un attaquant, incluant les ids de session et les informations personnelles. ✔ ✔ ✔ Vérifier que les contrôles de sécurité de connexion permettent dejournaliser les succès ET échec d'évènements qui sont identifiés comme liés à la sécurité. ✔ ✔ ✔ Vérifier que l'application ne journalise pas des donnée sensibles spécifiques à l'application qui pourraient aider un attaquant, incluant les ids de session utilisateur et les informations personnelle ou sensible. ✔ ✔ ✔

Protection des données S’assurer que les données soient protégées vis a vis des règles métiers et légales. Exigence L1 L2 L3 L4 Vérifier que tous les formulaires contenant des informations sensibles ont désactivé les caches coté client, incluant les fonctionnalités d'auto- complétion. ✔ ✔ ✔ ✔ Vérifier que tous les caches ou copies temporaires de données sensibles stockées sur le serveur soient protégées d'accès non autorisés ou purgées/invalidées après que l'utilisateur autorisé ait accédé à ces données. ✔ ✔ ✔ Vérifier qu'il y a une méthode pour supprimer chaque type de données sensibles de l'application à la fin de la période de rétention requise. ✔ ✔

Vérification des communications sécurisées S’assurer qu’il n’y a pas de transmission de données sensibles sur des canaux en clair (HTTP). Exigence L1 L2 L3 L4 Vérifier qu'un chemin peut être créé depuis chaque CA de confiance vers chaque certificat de serveur TLS (Transport Layer Security), et que chaque certificat de serveur est valide. ✔ ✔ ✔ ✔ Vérifier que toutes les connexions à un système externe qui impliquent des informations ou des fonctionnalités sensibles utilisent un compte qui soit réglé pour avoir le minimum de privilèges nécessaire à l'application pour fonctionner correctement. ✔ ✔ ✔ Vérifier qu'un encodage de caractères spécifique est définit pour toutes les connexions (par ex. UTF-8) ✔ ✔

Vérifications de sécurité HTTP S’assurer que les éléments transitant dans HTTP sont au maximum de leur sécurité Exigence L1 L2 L3 L4 Vérifier que les redirections n'incluent pas de données non validées ✔ ✔ ✔ ✔ Vérifier que les entêtes HTTP ne contiennent que des caractères imprimables ASCII dans les requêtes et réponses. ✔ ✔ ✔ Vérifier que l'application génère un jeton aléatoire solide comme partie de tout lien ou formulaire associé à une transaction ou accédant à des données sensibles. Vérifier que l'application vérifie la présence du jeton contenu une valeur valide pour l'utilisateur courant lorsqu'il traite ces requêtes. ✔ ✔

Vérification de la configuration de la sécurité S’assurer que toutes les informations de configuration sont stockées de manière sécurisée Exigence L1 L2 L3 L4 Vérifier que toutes les informations de configurations liées à la sécurité sont stockées dans un endroit protégé des accès non-autorisés. ✔ ✔ ✔ Vérifier que tout changement dans la configuration de la sécurité gérée par l'application soit journalisé dans les journaux d'évènements de sécurité. ✔ ✔ Vérifier que le stockage de la configuration peut être ouvert dans un format lisible par un humain pour faciliter l'audit. ✔

Principes de développement KISS : Keep it Short and Simple 8 étapes clés : Validation des entrées Validation des sorties Gestion des erreurs Authentification ET Autorisation Gestion des Sessions Sécurisation des communications Sécurisation du stockage Accès Sécurisé aux ressources

KISS : Keep it Short and Simple Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des parades aux attaques Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment.

Pas de recette Miracle Mettre en place un cycle de développement sécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens.

Rejoignez nous ! http://www.owasp.fr

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01

Contenu connexe

Tendances (20)

En vedette (20)

Similaire à 2010 02 09 Ms Tech Days Owasp Asvs Sgi V01 (20)

Plus de Sébastien GIORIA (20)

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01

Notes de l'éditeur