Bonjour,

Dimanche 7 octobre 2016 – CF Summit – Las Vegas

Nous sommes toujours dans cet atelier très bien organisé autour du thème de la sécurité qui est, on ne peut plus, d’actualité.

Cet atelier a débuté ce matin à 9H00. Nous avons installé une machine virtuelle fournie par Adobe qui contenait un pack complet pour suivre et participer efficacement à cet atelier (serveur CF, builder, exemples, etc.).

David Epler et Pete Freitag - speakers CF Summit 2016 Aux commandes de ce workshop, deux experts : Pete Freitag (Foundeo Inc) et David Epler (aboutweb.com). Ils se succèdent en abordant tous les aspects d’un code CF sécurisé :

  • SQL Injection
  • Path Transversal
  • Files Uploads
  • Cross Site Scripting (XSS)
  • Security Headers
  • Cross Site Request Forgery (CSRF)
  • Authentification & Authorization
  • Session & Cookies
  • Scope injection

Quelques nouveautés & conseils Gestion des sessions
La gestion des sessions s’est dotée avec les dernières versions de quelques nouveautés qui peuvent s’avérer bien pratiques.
SessionInvalidate() : qui depuis la version CF10 permet de détruire les sessions courantes. SessionRotate() : Cette fonction génère une nouvelle session, copie toutes les données et détruit l’ancienne session. En appelant cette fonction au moment du login, elle permet, en régénérant la session, de prévenir les attaques “Session Fixation Attack”. En d’autres termes ce renouvellement régulier des Id de sessions permet d’éviter l’usurpation d’identité.

Key Strorage
Quelques conseils également sur le stockage de clés. Les clés étant régulièrement utilisées dans les algorithmes, le besoin de les stocker pose le problème de :  “Comment” et “Où″? D’abord ne jamais stocker en clair dans le code, dans des fichiers ou en base de données. David nous propose quelques solutions :

  • l’utilisation du Keystore de la JVM
  • l’utilisation des fonctionnalités de l’OS (exemple : Microsoft Data Protection DPAPI)

Scope Injection
Autre piège à éviter : le Scope Injection. Elle permet d’exploiter un mécanisme de résolution des variables sous ColdFusion qui admet leur résolution implicite. En d’autres termes, Si session.userId n’existe pas cela ne pourrait pas être un problème si on injecte dans l’url la variable url session.userId = 4! Et Hop, la variable session.userId sera correctement évaluée grâce au scope url. Cela se nomme le “Scope Injection”.

ColdFusion 2016 nous donne une solution : this.searchImpliciteScope = false dans application.cfc qui empêche la résolution implicite des variables.

Security Code Analyzer
Cette journée d’atelier sur la sécurité du code se ponctue sur une des toutes dernières nouveautés de ColdFusion : le Security Code  Analyzer.
Il constitue une véritable aide au développeur et au chef de projet qui lors de la revue de code peut très rapidement vérifier si des failles de sécurité sont détectées dans le source. L’outil est disponible : soit intégré dans le ColdFusion Builder (environnement intégré – version Entreprise) et également en ligne de commande. Il génère la liste des erreurs détectées en indiquant une foule d’informations : quelque type de faille, à quel endroit dans le source, le niveau de criticité, …

Rapport HTML Security Analyzer ColdFusion 2016

Rapport HTML Security Analyzer présenté lors du CF Summit 2016

Code Analyzer génère également un rapport HTML illustré de graphiques permettant une vision globale et précise du niveau de sécurité du code source applicatif.

 

 

Guide des bonnes pratiques
Pour finir on a récupéré un petit guide écrit par Pete Freitag dédié aux développeurs pour les aider à appliquer les bonnes pratiques en matière de sécurité applicative.

tkt - On ramène quelques guides pour nos développeurs!

tkt – On ramène quelques guides pour nos développeurs!

 

 

 

 

 

 

 

 

 

 

 

 

 

Conclusion
Il est 19h10 quand nous finissons ce post après une journée bien dense. Beaucoup d’informations pertinentes nous offrant une vision claire des options à définir et des bonnes pratiques à appliquer. Il nous semble évident que l’éditeur Adobe avec son équipe projet a résolument fait de la Sécurité une des ses priorités 2016.

Fred et Fabre avec Pete et David - CF Summit 2016

Fred et Fabre avec Pete et David – CF Summit 2016

 

Leave reply

Send us feedback!


Your email address will not be published.

 Last News