This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Montréal"

From OWASP
Jump to: navigation, search
m (Security Testing: Unlocking the Benefits of a Hybrid Approach)
m
Line 245: Line 245:
  
 
== Sécurité des applications : Les fondements ==
 
== Sécurité des applications : Les fondements ==
 +
[[Image:Tanya.jpeg]]<br/>
 +
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
[[Image:Presentation-link.png | Slides | link=https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements]] [https://speakerdeck.com/owaspmontreal/securite-des-applications-les-fondements See the slides / Voir la présentation]
 
<br/>
 
<br/>

Revision as of 16:13, 18 August 2017

Welcome & Bienvenue to the OWASP Montréal chapter


Logo OWASP Montréal

The OWASP Foundation was established in 2001 as an open community and software security resource. Since then, OWASP has grown to be globally recognized as a credible source for application security standards.

OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas.

OWASP is open to anyone. Anyone can attend OWASP's vendor agnostic local chapter meetings, participate in regional and global conferences, and contribute to the many OWASP projects. And anyone can start a new project, form a new chapter, or lend their expertise to help an OWASP Global Committee.

On parle français aussi ! Le chapitre de Montréal organise plusieurs activités gratuites afin de partager les connaissances en sécurité applicative avec la communauté de développeurs et gestionnaires. Suivez-nous sur les réseaux sociaux pour connaître les dates des conférences du midi et des workshops !

Top documentation from OWASP includes:


Chapter Leaders / Responsables du chapitre


Special thanks to / Remerciements :

  • Simon Lacasse, Web content / Site internet

Reach our chapter / Joindre le chapitre

Follow OWASP's Montreal chapter's activities through social medias, register to events, watch the previous presentations and more!

Suivez les activités du chapitre OWASP Montréal via les réseaux sociaux, inscrivez-vous aux activités, visualisez les anciennes présentations et plus encore!


Click here to join the local chapter mailing list.
Inscrivez-vous ici à la liste de courriels du chapitre afin de recevoir les dernières nouvelles!

Want to be part of the community ? Devenez membre de notre communauté ! Click here / Cliquer ici


OWASP Montreal Eventbrite Spacer-horiz.gif YouTube OWASP Montreal Channel Spacer-horiz.gif Slides of OWASP Montreal on SpeakerDeck Spacer-horiz.gif


@owaspmontreal on Twitter OWASP Montreal Facebook page OWASP Montreal on LinkedIn

Spacer-horiz.gif

Sponsorship & Membership / Commandite & Adhésion

Btn donate SM.gif to this chapter or become a local chapter supporter.

Or consider the value of Individual, Corporate, or Academic Supporter membership. Ready to become a member? Join Now BlueIcon.JPG

Donnez au chapitre ou devenez commanditaire du chapitre local!

Devenez membre ! Pour en savoir davantage sur les avantages d’une adhésion individuelle, corporative ou en tant qu’institution d’enseignement, cliquez ici.

Chapter Supporters / Commanditaires du chapitre

All details available here / Pour tous les détails Chapter-supporter-owasp-montreal.png


Platinum / Platine

GoSecure Spacer-horiz.gif Desjardin's logo

Gold / Or

Immunio




Cas d'attaques vécus : Internet des objets (IOT) - Attaques DDoS

Cas dattaques vecus-r.jpg
WHEN 

June 19th 2017

WHERE 

Espace Desjardins

Pour clore la saison printanière 2017, OWASP Montréal est fier d'accueillir au Midi Conférence, M. Christian Shink qui fera un survol de cas d'attaques vécus, des techniques utilisées et des acteurs impliqués dans ces attaques.

L'incorporation généralisée de dispositifs «intelligents» dans les objets de la vie de tous les jours modifie la façon dont les gens et les machines interagissent les uns avec les autres. Cette incorporation offre une promesse d'une meilleure qualité de vie, une meilleure efficacité. En contrepartie, leur déploiement introduit également des vulnérabilités à la fois dans l'infrastructure qu'ils soutiennent et sur lesquels ils comptent, ainsi que dans les processus qu'ils guident. Que ce soit au niveau applicatif ou des infrastructures, ces vulnérabilités sont exploitées par des acteurs malicieux pour générer des attaques de déni de service massives et sophistiquées. Nous tenterons également de tirer des leçons afin de tenter de minimiser ce type d'attaques dans le futur.

Christian Shink possède plus d’une dizaine d’années d’expérience en développement et sécurité d’applications. Avant de se joindre à Radware, Christian était à l’emploi d'une firme conseil où il a conseillé de nombreuses entreprises, dont de grandes banques américaines et Casinos. Il détient une certification CSSLP et est membre de l'ordre des ingénieurs du Québec.

HOW TO! Threat Modeling Toolkit

OWASPMtl-JonathanMarcil-1.jpg OWASPMtl-JonathanMarcil-3.jpg

Slides See the slides / Voir la présentation
WHEN 

May 23rd, 2017

WHERE 

Shopify Montreal

Threat Modeling is a great way to analyze security early in software development by structuring possible attacks, bad actors and countermeasures over a broad view of the targeted system. This talk will describe basic components of a threat model and how to use them effectively. Threat Intelligence is where you gather knowledge about the environment and business assets to determine what are the actual threats. But how do you reconcile that with the current architecture in a useful manner? The toolkit presented in this talk will enable you to systematically structure related information using graphical notations such as flow diagram and attack tree. In case you are wondering where to start in your organization, a quick lightweight risk rating methodology will also be proposed. And in the end, you’ll see how we can all tie those together and get threat modeling to a point where it’s an efficient application security activity for communication. Doing this will prevent security reviews from missing important things even when chaos prevails during the realization of a project. Modeling concepts will be demonstrated with an actual IoT device used as example. Presentation will be done in english.

Speaker Bio: Jonathan Marcil is the former chapter leader of OWASP Montreal and is now Senior Application Security Engineer at Blizzard Entertainment in beautiful Orange County, California. Jonathan has been involved with OWASP for many years and has been behind the Media Project which gathered and promoted AppSec conferences video content in the official OWASP YouTube channel. He was also part of NorthSec CTF event as a challenge designer specialized in Web and imaginative contraptions. He is passionate about Application Security and enjoys architecture analysis, code review, threat modeling and debunking security tools. He holds a diploma in Software Engineering from ÉTS Montreal and has more than 15 years of experience in Information Technology and Security.


Merci à nos précieux commanditaires !

Security Testing: Unlocking the Benefits of a Hybrid Approach

Security testing hybrid approach-r 3.jpg Security testing hybrid approach-r 4.jpg
Slides See the slides / Voir la présentation
WHEN 

April 24th, 2017

WHERE 

Espace Desjardins

As part of their defensive efforts, businesses commonly commission cybersecurity assessments of their web applications; with the aim of identifying any weaknesses in the security controls and ensuring a continually strong cybersecurity posture of their systems.

The classical approach of either secure code review (white box) or penetration testing (black box) assessment have proven to be effective in securing of web applications. The new trend, however, is moving towards the combination of these two approaches; expert consensus is rapidly recognizing the advantages of using a hybrid approach. When applied properly, a hybrid approach can build on the strengths of both white and black box testing, while compensating for their individual shortcomings.

In this presentation, we will examine the details of secure code review and penetration testing, and run demos to contrast their respective strengths and weaknesses. We will also examine why a hybrid approach can produce more complete and relevant assessment results. To conclude, we will cover proven approaches, and practical techniques, on how you can start leveraging a hybrid approach to web application assessments today.

Anne Gauthier is an application security analyst at GoSecure. Anne is also the president of the Montreal Chapter of OWASP – the industry standard for web application security. With a penetration testing background, she specializes in secure code reviews and in helping companies to improve their software development lifecycle (SDLC) according to industry best practices. Anne is CSSLP, GWAPT and GSSP-JAVA certified. She obtained a Software Engineering bachelor’s degree from Ecole de Technologie Supérieure in Montréal and is now pursuing a Master of Engineering (MEng) degree in Information Systems Security at Concordia University. She is the author of the Project 201 Security blog.

Merci à nos précieux commanditaires !

"HOW-TO" NIGHT ! Tout sur les CTFs (Capture The Flag)

Howto ctf.jpg
Slides See the slides / Voir la présentation (Laurent Desaulniers) Slides See the slides / Voir la présentation (Charles Hamilton) Slides See the slides / Voir la présentation (Olivier Bilodeau)
WHEN 

April 4th, 2017

WHERE 

Shopify

Cette nouvelle soirée "How-To" Night d'OWASP Montréal vise à présenter les CTFs (une compétition Capture The Flag) et aider les équipes à démarrer et à continuer à évoluer dans leurs pratique de la cyber sécurité pratique. L'objectif est d'outiller les participants en leur fournissant des ressources techniques et des contacts afin de les aider à progresser.

Les éléments discutés seront:

- Composition optimale d’une équipe : Fonctionnement d’une équipe de CTF et les principaux rôles (chef d’équipe, cryptographie, application web, rétro ingénierie et les causes perdues).

- Pourquoi faire des CTFs? Discussion sur les différents styles (jeopardy, attack/defense, etc.), quels sont les problèmes fréquemments rencontrés + plusieurs anecdotes intéressantes (et drôles).

- Trucs de Mr. Unikoder : Le créateur du fameux site ringzer0team, soit un des plus gros sites pour apprendre la résolution de problèmes de CTF (https://ringzer0team.com/) Apprenez des trucs du meilleur, sur comment débuter et interpréter un challenge web, binaire et crypto avec des trucs réels du métier.

Matériel requis : 

   Votre légendaire enthousiasme

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateurs :

Charles Hamilton, Senior Consultant chez Mandiant, FireEye, Inc.

Olivier Bilodeau, Cybersecurity Research Lead at GoSecure

Laurent Desaulniers, Senior Security Solution Specialist at Bell Canada

NorthSec - Applied Security Event

Nsec 2017 midi conf.jpg
Slides See the slides / Voir la présentation
WHEN 

April 4th, 2017

WHERE 

Espace Desjardins

NorthSec: La plus grande compétition et conférence en cyber sécurité au Canada

NorthSec est un organisme sans but lucratif qui organise une conférence et une compétition de sécurité de type "Capture-The-Flag" (CTF) et des formations. Avec plus de 400 participants présents sur le site pour la compétition, c’est la plus grande compétition du genre au monde.


La conférence, dans sa 3e année, attire des présentateurs internationaux avec du contenu technique exclusif. L’ajout des séances de travail (workshops) devrait plaire aux plus chevronnés des binaires.


Des formations de 3 jours sont offertes avant la conférence: "Advanced Web Application Security" par Philippe Arteau et "Malware and Memory Forensics" par Michael Ligh, co-auteur des livres "Malware Analyst Cookbook" et "The Art of Memory Forensics".


NorthSec est situé au Marché Bonsecours dans le Vieux-Port de Montréal au printemps du 15 au 21 mai 2017.


La présentation couvrira:

- Le plan pour 2017
- Ce qui différencie NorthSec
- Comment équilibrer une compétition pour les débutants et les experts
- Comment bâtir une infrastructure basée sur les conteneurs qui gère 50 équipes dans quelques serveurs sans qu’ils ne se partagent de machines virtuelles
- Comment faire du pain au levain à grande échelle
- Présentation de quelques défis et solutions


Les présentateurs:

- Gabriel Tremblay, Président, Delve Labs
- Olivier Bilodeau, VP Formations, Co-fondateur MontréHack, GoSecure
- Pierre-David Oriol, VP Conférences, Delve Labs
- Benoit Guérette, VP Partenaires, Desjardins
- Laurent Desaulniers, Tisserand de drapeaux, Bell Canada


Merci à nos précieux commanditaires !

Sécurité des applications : Les fondements

Tanya.jpeg

Slides See the slides / Voir la présentation
WHEN 

March 20th, 2017

WHERE 

Espace Desjardins

OWASP Montréal est fier d’accueillir au Midi Conférence du mois de mars, Mme Tanya Janca, Co-Leader du chapitre OWASP Ottawa et spécialiste de la sécurité applicative au sein du Gouvernement fédéral.

La conférence « Les fondements de la sécurité des applications » sera présentée en anglais.

Session Description : Everyone has heard about the problem; everyone is “getting hacked”. But what is the answer? From scanning your code with a vulnerability scanner to red teaming exercises, developer education programs and bug bounties, this talk will take the audience through all the possibilities of an extensive application security program, with a detailed explanation of each part.

Bio : Tanya Janca is an application security evangelist, a web application penetration tester and vulnerability assessor, a secure code reviewer, an ethical hacker, the Co-Leader of the OWASP Ottawa chapter, and has been developing software since the late 90’s. She has worn many hats and done many things, including; Custom Apps, Ethical Hacking, COTS, Incident Response, Enterprise Architect, Project and People Management, and even Tech Support. She is currently helping the Government of Canada secure their web applications.

Merci à notre commanditaire principal de cet événement: Ubitrak!

WORKSHOP ! Server Side Template Injection (SSTI)

WORKSHOP ! Server Side Template Injection (SSTI)

Slides See the slides / Voir la présentation

WHEN 

22 Février 2017

WHERE 

Shopify Montréal


OWASP Montreal vous invite à un atelier portant sur la sécurité des applications web supportant les moteurs de template (Template Engine). Le principe de séparation entre la présentation du site (code HTML statique) et de son contenu dynamique facilite la création de documents HTML et la capacité à modifier l'apparence du site sans mélanger le traitement et le rendu de la page. L'utilisation de moteurs de template amène de nouveaux enjeux de sécurité. Les vulnérabilités de type Server Side Template Injection (SSTI) sont exploitables à travers les données (non fiables) fournies par l'utilisateur et conduisent à l'exécution de code arbitraire (RCE) sur le serveur hébergeant l'application web.

Ce workshop a pour but d'introduire cette classe de vulnérabilité à travers différents cas d'implémentation (php, java, python). Nous verrons comment identifier et exploiter ces vulnérabilités et de quelle manière un attaquant peut s'y prendre pour exécuter du code arbitraire sur le serveur afin d'en prendre le contrôle.

Niveau : Intermédiaire
Matériel requis :

  • Votre portable
  • Votre distribution Linux/Unix de votre choix
  • Votre proxy Web de votre choix

Ce workshop est gratuit ! Un lunch et breuvage sont inclus. Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente. Veuillez prendre note que votre nom et prénom seront fournis à Shopify pour l'événement.

Présentateur : Gérôme Dieu
Gérôme Dieu cumule plus de 7 années d’expérience en technologies de l’information et en sécurité. Il œuvre à titre de conseiller senior en sécurité de l’information au sein de la firme OKIOK. Ces dernières années, il a acquis une expertise dans le domaine de la sécurité des applications web aussi bien d'un point de vue offensif que défensif. En plus de réaliser des tests d’intrusion pour des clients internationaux, Gérôme s’implique dans la recherche et développement afin de maintenir à la fine pointe de la technologie les tests d'intrusion et d'analyse de vulnérabilités.

Merci à Shopify d'héberger l'événement !
Shopify

Le courriel en 2017 – risques et menaces pour tous

Le courriel en 2017 – risques et menaces pour tous

Link to video Watch the conference / Regarder la conférence
Slides Slides are not available / Présentation non disponible


WHEN 

Le 23 janvier 2017 à midi

WHERE 

Espace Desjardins

Monsieur Poellhuber nous brossera un tableau du phénomène grandissant du rançongiciels et de l'hameçonnage, personnification.

- Par les années passées, la menace courriel se résumait principalement en un fort volume de contenu simplement indésirable. Aujourd’hui la menace a passablement évolué. Quels sont les véritables risques actuels associés au courriel ? Rançongiciels, hameçonnage, personnification. Cette conférence présentera les nouveaux défis de sécurité pour les organisations qui doivent composer avec des attaques de plus en plus sophistiquées et de plus en plus ciblées tout en protégeant leur réputation. Des exemples biens réels, drôles et moins drôles seront disséqués pour bien dessiner l’ampleur de l’enjeu.

M. David Poellhuber, Chef de l’exploitation, ZEROSPAM Sécurité Inc

Note biographique :
Monsieur David Poellhuber oeuvre dans l’industrie de la sécurité informatique depuis quinze ans. Il a été conférencier dans plusieurs forums de sécurité au Canada et est maintenant reconnu comme une autorité en matière de sécurité du courriel. Il a fondé ZEROSPAM Sécurité en 2003, le premier service Québécois externalisé de sécurité du courriel infonuagique qui se distingue par sa convivialité, son efficacité et ses technologies de détection proactives.
Audience : Généralistes et spécialistes de la sécurité des TI

Merci à Ubitrack pour le repas et à Desjardins d'héberger l'événement!

Ubitrak Spacer-horiz.gif Desjardin's logo

Effective XSS Mitigation

Effective XSS Mitigation

Slides See the slides / Voir la présentation

WHEN 

18 Janvier 2017

WHERE 

Google Montréal

FRANÇAIS/ENGLISH
La mitigation de XSS a été un sujet important au cours des dernières années. Les navigateurs ont implémenté, en autre, deux fonctionnalités pour mitiger leur impact : l'entête "XSS-Protection" et l'entête "Content-Security-Policy". Par contre, obtenir une mitigation contre les XSS efficace est souvent plus complexe que l'on pense. Cet atelier couvrira les deux entêtes. Il expliquera comme il est possible de contourner ces protections et ce qu'il est possible de faire pour se protéger. Des exercices de type "offensif" et "défensif" seront proposés. Mitigation for XSS as been an important topic in the last few years. Browsers have implemented two main functionalities to help mitigate the impact of XSS : the "XSS-Protection" header and the "Content-Security-Policy" header. But, getting an effective XSS mitigation of those headers is trickier than it may seem. This workshop will cover both of those headers. It will explain how bypass of those protection work and what you can do about it. It will have both "defensive" exercises and "offensive" exercises. Niveau : débutant/intermédiaire

Matériel requis :

Votre portable

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Places limitées. Si le participant inscrit ne s'est pas présenté à 18h30, sa place sera remise à une autre personne présente.

Veuillez prendre note que votre nom et prénom seront fournis à Google pour l'événement.

Présentateur : Olivier Arteau

Olivier Arteau est un professionnel en sécurité informatique depuis quelques années et fait partie de l’équipe de test d’intrusion de Desjardins. Il est aussi un amateur de CTF qui a gagné à plusieurs reprises le CTF du NorthSec avec l’équipe HackToute et participe fréquemment à d’autres CTF avec l’équipe DCIETS.

Merci à Google d'héberger l'événement!

Google

Retrieved from "https://wiki.owasp.org/index.php?title=Montréal&oldid=232456"