Architecture, Perf. & Sec.Tools-in-Action25min
Transfert de fichiers : Vivre le "Die & Retry".
La présentation illustre, à travers une mise en situation, les risques de sécurité liés à la réception de fichiers PDF dans les applications web. Elle montre comment ces fichiers peuvent être exploités à des fins malveillantes et souligne l’importance de définir précisément les types autorisés et leurs validations techniques.
talk.summaryAiDisclaimer
Dominique RighettoThales
Résumé:
Il arrive très souvent, dans des applications web modernes (classique ou API), de permettre à un utilisateur de pouvoir transmettre un fichier. Le but étant de pouvoir mieux contextualiser sa demande ou bien son dossier comme dans le cas d’une assurance. Ce fichier une fois transmis, est souvent traité dans un second temps soit par une autre application soit par une personne physique du département adéquat (souvent appelé "Back office"). Tous les types de fichiers ne sont malheureusement pas sains et peuvent représenter un risque de sécurité s’ils sont autorisés ou bien acceptés, par erreur, par l’application.
Le but de cette présentation est de montrer comment certains types de fichiers (ici PDF) peuvent être "abusés" afin de permettre de les utiliser comme un vecteur d’attaque pour atteindre un objectif malveillant. Le but de cette présentation est aussi de montrer pourquoi il est important et complexe de bien définir, lors de la création de la "User Story" ou bien de la spécification technique de la fonctionnalité d’envoi de fichier, les types de fichiers acceptés et d’implémenter les validations techniques correspondantes.
Trame de la présentation :
Cette présentation va prendre la forme d’une histoire comptée dans laquelle on demande à une équipe de développement d’implémenter une fonctionnalité de transmission de fichier ceci avec une spécification vague de type "l’utilisateur doit pouvoir nous envoyer des fichiers PDF".
Il arrive très souvent, dans des applications web modernes (classique ou API), de permettre à un utilisateur de pouvoir transmettre un fichier. Le but étant de pouvoir mieux contextualiser sa demande ou bien son dossier comme dans le cas d’une assurance. Ce fichier une fois transmis, est souvent traité dans un second temps soit par une autre application soit par une personne physique du département adéquat (souvent appelé "Back office"). Tous les types de fichiers ne sont malheureusement pas sains et peuvent représenter un risque de sécurité s’ils sont autorisés ou bien acceptés, par erreur, par l’application.
Le but de cette présentation est de montrer comment certains types de fichiers (ici PDF) peuvent être "abusés" afin de permettre de les utiliser comme un vecteur d’attaque pour atteindre un objectif malveillant. Le but de cette présentation est aussi de montrer pourquoi il est important et complexe de bien définir, lors de la création de la "User Story" ou bien de la spécification technique de la fonctionnalité d’envoi de fichier, les types de fichiers acceptés et d’implémenter les validations techniques correspondantes.
Trame de la présentation :
Cette présentation va prendre la forme d’une histoire comptée dans laquelle on demande à une équipe de développement d’implémenter une fonctionnalité de transmission de fichier ceci avec une spécification vague de type "l’utilisateur doit pouvoir nous envoyer des fichiers PDF".
Dominique Righetto
🌎 Originally from the north of France, I moved at the end of my studies to Luxembourg to meet people from different cultures.
👨💻 I am deeply passionate about Application Security (offensive & defensive point of view).
🎯 Since 2011, I contribute to different OWASP projects (either as a contributor or as a leader) in order to help development teams on the topic of Application Security from a pragmatic point of view.
📅 I work in software development field since 2003 and I moved to the Application Security field in 2011.
🛡️ Since this date, I help development team to integrate security into the lifecycle of the their software. I also assess the security posture of software.
🔬 I am an open source enthusiast that share a maximum of thing and contribute to different project via GitHub.
👨💻 I am deeply passionate about Application Security (offensive & defensive point of view).
🎯 Since 2011, I contribute to different OWASP projects (either as a contributor or as a leader) in order to help development teams on the topic of Application Security from a pragmatic point of view.
📅 I work in software development field since 2003 and I moved to the Application Security field in 2011.
🛡️ Since this date, I help development team to integrate security into the lifecycle of the their software. I also assess the security posture of software.
🔬 I am an open source enthusiast that share a maximum of thing and contribute to different project via GitHub.