Meetup OWASP Paris (25/02/2020)

Le meetup OWASP Paris aura lieu le mardi 25 Février 2020 chez FRCYBER. Le principe reste le même : un forum ouvert permettant aux personnes venues au meetup d’échanger et de partager leurs connaissances relatives à la sécurité informatique. Ce meetup se déroule en 2 parties: lightning talk puis workshop.

Lightning talk

Les lightning talks sont de courtes présentations, d’une phrase à 10 minutes maximum. Les présentations proposées par les participants étaient :

  • Fuite de données à l’université de Toulouse. (lien)
  • Powerzure : Comment tester la sécurité de son infrastructure Azure avec un utilitaire. Un utilisateur ayant juste les droits de lecture peut récupérer les secrets qui sont dans les runbooks.
  • Les secrets peuvent être diffusés par erreur : On pourrait tenter de penser qu’un git push --force effacerait toute trace d’un secret envoyé par erreur mais il n’en ait rien. On peut récupérer les commits “effacés” via l’API. On peut commencer à automatiser la récupération en comparant les commits officiels de ceux retournés par l’API. Il est donc intéressant pour une entreprise d’automatiser un certain nombre de contrôle :
    • côté redteam : afin de voir l’impact de la diffusion de ces secrets et s’assurer leurs bonne rotation/révocation.
    • côté dev, on peut réutiliser ces mêmes scripts pour avertir de la présence de credentials
  • Adikts : Présentation des différents outils de sécurité applicative.
  • Stashofcode : REX sur comment s’initier à la sécurité informatique, par où commencer ?
  • Redos : Attaque par deny de service sur les expressions régulières. Quand on veut tester la validité d’une adresse mail par exemple.

Workshop

Les workshops sont des ateliers en petits groupes qui se déroulent en toute convivialité et bienveillance. Les thématiques proposées par les participants étaient :

  • Continuous Security : Comment intégrer la sécurité en continue dans le cycle DevOps de développement d’une application (la vidéo)
  • Table ronde sur la Sécurité en continu, comment la mettre en place et par où commencer ?
  • Curveball : Vulnérabilité Windows sur le processus de vérification d’une signature ECDSA

Le prochain meetup aura lieu le mois prochain. Pour ne pas manquer les futurs événements de l’OWASP Paris et plus généralement de l’OWASP France, inscrivez-vous au groupe Meetup.