a seconde journée de conférence s'est achevée sur un excellente Social Event en plein centre de Rennes, à deux pas de la fameuse rue Saint Michel de surcroît. L'ambiance était fort sympathique, et j'y ai fait la connaissance de pas mal de gens. Je tiens d'ailleurs à en remercier au passage certain(e)s ; ils savent pourquoi et se reconnaîtront ;)
Après avoir consacré ce qu'il restait de la nuit à dormir, nous voilà repartis pour le dernier tiers-temps de ce SSTIC 2011. Comme hier, ce sera un live blogging léger. Il vous reste Twitter pour compléter, même si j'ai parfois l'impression de ne pas vraiment assister à la même conférence quand je lis ce qui y tombe...
- RRABBIDS, un système de détection d'intrusion pour les applications Ruby on Rails, par Éric Totel, Loic Le Henaff et Romaric Ludinard (Supélec). On commence par des généralités sur les IDS, en particulier les comportementaux puisque c'est de domaine que vise l'outil présenté. Il est développé en Ruby, vise les applications Web développées sur Ruby on Rails et a pu être testé sur un système de vente en ligne de test, donc particulièrement vulnérable à tous les classiques du genre. Un SQL Injection for dummies sert d'exemple pratique pour illustrer le fonctionnement interne de RRABBIDS. Conclusion et démo. Bonne présentation... Pour de la sécu web ;)
- Usages offensifs de XSLT, par Nicolas Gregoire (Agarri). Présentation[1] sur l'exploitation des fonctionnalités potentiellement dangereuses sur divers moteurs XSLT exposées à travers des applications de plus haut niveau. La première partie s'attache à décrire ce qu'est XLST, la seconde à décrire l'approche avec l'étude des différents moteur : identification des fonctionnalités disponibles qui serviront pour fingerprinter les moteurs, développement de PoCs minimalistes, identification de chemins de déclenchement du moteur XSLT et test des applications. On termine par des exemples de vulnérabilités permettant d'accéder aux fonctions XSLT dangereuses, avec pleins pleins pleins d'application touchées : services web, smartphones, lecteurs RSS, applications Gnome, PHP5, Java... En gros pleins d'applications qui transforment du XML. Quelques recommandations en guise de conclusion... BTW, le W3C recommande de ne pas utiliser XSLT ;) Une très bonne présentation qui rappelle à quel point les gens utilisent des outils dangereux sans rien (vouloir) y panner...
- Faille de sécurité ou défaut de sécurité, par Éric Barbry (Alain Bensoussan Avocats)
Notes
[1] Je ne sais pas ce que vous en pensez, mais perso, je ne suis pas super fan des animations Prezi, mais ça n'a rien à voir avec la soirée d'hier en ce qui me concerne par contre :)
Jeu de briques
Snake
Pacman
Bubble